GDPR - General Data Protection Regulation
Op vrijdag 4 mei 2018 gaat de General Data Protection Regulation (GDPR) in Nederland en België volledig van kracht.
Dus over iets meer dan een half jaar moet uw bedrijf of organisatie alle privacygevoelige 'Persoonlijk Herleidbare Informatie' in kaart hebben gebracht en moeten alle werkprocessen en het documentbeheer volledig voldoen aan wet- en regelgeving. Indien dit niet het geval is, kan dit tot boetes leiden van 4 procent van de bedrijfsomzet.
​
Wilt u zeker zijn dat uw bedrijf of organisatie voldoet aan alle eisen, neem dan contact met ons op voor een plan van aanpak, bel 0252-435 010 of 06-2745 1966 voor een afspraak of kennismaking. Wij bespreken graag met u de mogelijkheden voor een aanpak op maat en zorgen ervoor dat uw bedrijf of organisatie volledig voldoet aan de eisen van de GDPR op 4 mei 2018.
Wij weten precies welke stappen er moeten worden gezet en hoe alle informatie in kaart kan worden gebracht en beveiligd.
Wij vertegenwoordigen exclusief voor de Benelux een aantal internationale technologie bedrijven die relevante oplossingen leveren voor het beveiligen van data en dataverkeer zoals:
Boldon James voor Classificatie
Varonis voor Data Governance
Forcepoint voor Data Loss Prevention.
Meerdere klanten hebben hun databeveiliging gebaseerd op een of meer van de bovengenoemde technologieën.
​
Lees hieronder meer over GDPR:
​
De (EU) GDPR is ontwikkeld om persoonlijke informatie beter te beschermen in een digitaliserende wereld. In essentie geeft de GDPR-wetgeving burgers het recht om te bepalen of, wanneer, hoe en aan wie zijn of haar gegevens en informatie worden verstrekt en waartoe die gegevens mogen worden gebruikt.
Hieronder volgen een aantal belangrijke stappen op weg naar GDPR compliance die informatiemanagers en hun eindverantwoordelijken zullen helpen te bepalen waar Persoonlijk Herleidbare Informatie (PHI) zich bevindt en wat de plichten zijn bij het beheren van die privacygevoelige gegevens.
​
Stap 1 - Welke data zijn persoonlijke gegevens?
De definitie van ´personal data´ in de nieuwe wetgeving, is dat al die gegevens (in-) direct terug te voeren zijn naar een ´data subject’, een levende persoon. Dat strekt ver en betreft ook IP-adressen, cookies en ´device identifiers´ die gebruikte apparatuur herkennen. Gegevensbeheerders moeten aantonen welke PHI ze onder hun hoede hebben, de informatierisico´s in kaart brengen en laten zien hoe ze die minimaliseren.
Stap 2 - Is de GDPR toepasselijk?
Ken de GDPR-terminologie om de relevantie van de 50 artikelen voor de organisatie te begrijpen. Behalve ‘personal data’ en ´data subject´, worden betekenisvolle termen gebruikt als ´territorial scope’,´data subject access requests’, ´data protection impact assessment (DPIA)’, ´the right to erasure’, ´data portability’ en ´consent’.
Stap 3 - Waar bevindt de PHI zich in de organisatie?
Bepalen welke PHI zich waar bevindt, is een voorwaarde om überhaupt aan de verplichtingen te kunnen voldoen. Dat vraagt inventarisering en analyse van data op bedrijfssystemen, apparatuur van medewerkers, externe (´cloud´-) servers en archieven, en informatie in gebruik of bewaring bij leveranciers, onderaannemers en andere partners die privacygevoelige gegevens namens de organisatie verwerken.
Stap 4 - Ontwikkel een ´informatieplattegrond´ en classificeer alle informatie
Na de analyse in Stap 3 is het advies om een ´data map´ te maken, een informatieplattegrond die in één oogopslag een totaaloverzicht biedt van wat de oorsprong is van welke informatie en waar die informatie allemaal resideert, en hoe de informatiebronnen verbonden zijn met andere systemen – met nadruk op de PHI, fysieke informatie en digitaal. Dat geeft vlot en voortdurend inzicht in de plaats, aard en waarde van alle informatie.
Stap 5 - Beoordeel en verbeter het bestaande informatiebeleid
Nu het duidelijk is welke informatie zich waar bevindt, wat de aard en waarde ervan is, en hoe die informatie wordt gedeeld, is het belangrijk te bepalen wat ermee mág, en hoe ermee moet worden omgegaan – wat bijvoorbeeld de bewaartermijnen zijn. Dat vraagt om adequate beleidsregels ten aanzien van die bewaartermijnen, in overeenstemming met de wet- en regelgeving en contractuele verplichtingen. Het komt er op neer dat er genoeg informatie, maar niet te veel wordt bewaard, gebruikt en gedeeld, en dat dan niet te kort (fiscus, patiëntgegevens), maar ook niet te lang (PHI). Gegevensvernietiging is een delicate kwestie, die ook uiterst vertrouwelijk en aantoonbaar juist moet gebeuren.
Stap 6-– Blijf waakzaam en onderneem de nodige actie
Tenslotte is het belangrijk dat de gehele organisatie en de partners zich bewust zijn van de verplichtingen en afspraken, en dat er bijvoorbeeld eenduidigheid bestaat over de bewaartermijnen en het vernietigingsbeleid. Regelmatige beoordeling is nodig om gelijke pas te houden met veranderende wet- en regelgeving en contractuele verplichtingen en eventuele bedrijfsmatige veranderingen.
Nu actie ondernemen!
Het doorvoeren van de Europese General Data Protection Regulation, vereist aanpassing en aanscherping van beleid dat er al moést zijn, wegens eerdere wetten en regels. Maar de vereisten en verantwoordelijkheden vanwege de doorvoering van de GDPR gaan stukken verder en de overeengekomen boetes zijn genadeloos: tot 4% van de wereldwijde omzet van het moederbedrijf, of 20 miljoen euro. Dergelijke maatregelen bieden de informatiemanager wel een krachtig argument om de eindverantwoordelijken te overtuigen hier snel een serieus project van te maken.