Acht tips om GDPR-proof te worden

Op 25 mei 208 is het zover, dan treedt de nieuwe General Data Protection Regulation (GDPR) in werking. Vanwege de nieuwe wetgeving moeten bedrijven en organisaties kunnen aantonen dat persoonsgegevens die opgeslagen en verwerkt worden, voldoen aan de eisen van de nieuwe wetgeving. Veel klanten van web2work vragen mij hoe ze GDPR-compliant kunnen worden. Hierbij acht tips om dit te realiseren:

Stap 1: Zorg voor bewustwording bij medewerkers

Zorg dat mensen in je organisatie op de hoogte zijn van de nieuwe privacywetgeving. Op de werkvloer moeten mensen bij de dagelijkse gang van zaken zelf alert zijn op de juiste omgang met persoonsgegevens en het voorkomen van datalekken. Daarnaast moeten zij ook op de hoogte zijn van relevante wijzigingen die de GDPR met zich meebrengt. Zorg bijvoorbeeld voor gedragsregels.

In de praktijk kan dit goed worden vastgesteld in de vorm van een privacyreglement en een verkorte versie via een half A4’tje met gedragsregels (wat zijn de belangrijkste zaken die je verwacht van je medewerkers: bijvoorbeeld clean desk-procedure en versleutelen USB-sticks).

Stap 2: Kijk naar je eigen organisatie

Accepteer dat GDPR-compliance voor elk bedrijf maatwerk is. Er is geen quick fix of een standaardcertificaat waarmee alle problemen zijn opgelost. Het is daarom noodzakelijk om de mogelijkheden en procedures van je eigen organisatie helder in kaart te krijgen en die waar nodig te verbeteren.

Ik vind het zelf handig om hiervoor te steunen op het verwerkingsregister (wat overigens lang niet altijd een verplicht register is). In zo’n register leg je onder meer vast welke verwerkingen van persoonsgegevens je hebt, wat daarin aan precieze informatie aanwezig is en hoe je omgaat met beveiliging, verwerkers en bewaartermijnen.

Stap 3: Documenteer persoonsgegevens en zorg voor expliciete toestemming van de betrokken personen

Het is van belang dat je weet welke persoonsgegevens vastgelegd worden en voor welke doeleinden. Zorg bijvoorbeeld voor expliciete toestemming van de betrokkenen voor het verwerken van deze informatie als dat de grondslag is waaronder je die gegevens verwerkt..

In het bij stap 2 genoemde verwerkingsregister leg je ook vast onder welke grondslag persoonsgegevens verwerkt worden. Je hebt hiermee dus al een redelijk overzicht.

Stap 4: Voer een risicoanalyse uit op de kwaliteit van de informatiehuishouding

Het is belangrijk dat je een risicoanalyse doet en voor jezelf vaststelt welke technische en procedurele maatregelen je moet nemen op privacygebied. Mocht er namelijk iets mis gaan, dan heb je in je achterzak een kwalitatief toereikende risicoanalyse nodig met bewijs van de genomen ‘passende’ beveiligingsmaatregelen. Is dat het geval, dan ben je in principe GDPR-proof.

In het voorgaande zag je al dat de uitwerking hiervan zijn weerslag vind in de verwerkersovereenkomst. Eigenlijk geeft dat dus ook een mooi handvat: je inventariseert je verwerkingen en verwerkers en gaat na of daar de juiste en voldoende technische en organisatorische beveiligingsmaatregelen op zijn ingericht.

Stap 5: Beoordeel de eventuele eis om een “eigen” Functionaris voor de Gegevensbescherming aan te stellen

Niet elke organisatie is verplicht om een Functionaris Gegevensbescherming te benoemen. Sterker nog: veel organisaties hoeven hier niet aan te voldoen, maar in bepaalde situaties is dit een verplichting. Toch is het voor organisaties zinvol om in ieder geval een privacyfunctionaris aan te wijzen (dus niet de wettelijke functie, maar wel iemand die zorgt dat alles geregeld wordt en blijft worden).

Stap 6: Zorg dat mensen van hun privacyrechten gebruik kunnen maken

De GDPR zorgt ervoor dat mensen waarvan hun gegevens verwerkt worden meer privacyrechten hebben. Daar horen bestaande rechten, zoals het recht op inzage, recht op correctie en recht op verwijdering bij, maar ook nieuwe rechten zoals het recht op dataportabiliteit. Dit recht houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen bezit.

Stap 7: Zorg voor een verwerkersovereenkomst

Het is belangrijk dat je voorafgaand aan het verstrekken en tijdens de verwerking van een opdracht vaststelt dat er sprake is van passende beveiliging. Dit doet je met name via de privacybijsluiter bij de verwerkersovereenkomst waarin de beveiliging is omschreven. Je wilt bijvoorbeeld weten dat medewerkers aan geheimhouding gebonden zijn en dat gegevens veilig bewaard worden. Een goede verwerkersovereenkomst kan als toetsinstrument van anderen dienstdoen.

Stap 8: Zorg voor continue verbetering en monitoring

Maatregelen nemen is een uitstekend idee, maar het borgen van de kwaliteit van de maatregelen is minstens net zo belangrijk. Zorg daarom voor continue verbetering en monitoring van privacy en security. Dit kan bijvoorbeeld met het inrichten van de PDCA-cyclus (Plan - Do - Check - Act). Hanteer een managementsysteem, waarbij je voorzien bent van een procedure voor het testen, beoordelen en evalueren van de doeltreffendheid van de getroffen maatregelen.

Het gaat hierbij om het meetbaar maken. Als je dus hebt bepaald welke beveiliging belangrijk is ga je kijken op welke manier je kunt meten dat de getroffen maatregelen effect hebben. Het is dus bijvoorbeeld goed als een online programma om bewustzijn bij je medewerkers te kweken op zijn minst ook een registratie van deelname bevat, maar nog beter als je medewerkers ook een toetsje moeten maken als ze de informatie tot zich genomen hebben.

GDPR-proof

Kortom, er zijn veel richtlijnen waar je aan moet voldoen, maar met het oppakken van de hier genoemde stappen ben je al een heel eind op weg om ervoor te zorgen dat je op 25 mei GDPR-proof bent. Succes!

Jeroen Renard

Jeroen Renard is Security Officer bij de Odin Groep en web2work. Voorafgaand aan deze functie heeft hij onder meer ruim 15 jaar als IT auditor gewerkt bij grotere accountantskantoren. Het adviseren over, en uitdragen van security standaarden binnen de organisatie maakt het werk leuk en het is voor Jeroen een uitdaging om veranderingen te brengen waar het moet en ondersteunend te zijn waar het kan.

Media
  • GDPR.jpg