19 september 2017 -
Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt, voldoen aan de General Data Protection Regulation (GDPR).
De nieuwe wet introduceert en verscherpt regels voor organisaties die persoonsgegevens verwerken. Ook maakt de wet het mogelijk hogere boetes op te leggen bij nalatigheid, welke uiteindelijk kunnen oplopen tot vier procent van de wereldwijde jaaromzet of twintig miljoen euro.
Een paar van de belangrijkste veranderingen zijn: nieuwe regels betreffende de meldplicht van datalekken; het recht op overdraagbaarheid van persoonlijke gegevens; het recht op verwijdering van persoonlijke gegevens op verzoek van de betrokkene; de verplichting om onder bepaalde omstandigheden een data protection impact assessment uit te voeren; het verplicht aanstellen van een Data Protection Officer (DPO) voor organisaties die persoonsgegevens op een bepaalde manier verwerken. Gazala Haq is EMEA Director Overheidsbeleid en overheidszaken bij Dropbox en gaat verder in op deze belangrijkste veranderingen en hoe u zich daar als bedrijf op kunt voorbereiden.
Implementatiestrategie
"De tijd dringt en veel organisaties zijn nog niet begonnen met de voorbereidingen. Ze moeten nog een implementatiestrategie ontwikkelen om te voldoen aan de nieuwe regels," aldus Haq. "Elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt, moet een op maat gemaakte strategie ontwikkelen die gebaseerd is op bijvoorbeeld de omvang van de organisatie, de hoeveelheid en typen gegevens die verwerkt worden en de huidige maatregelen op het gebied van beveiliging en privacy. Juridisch advies is onmisbaar bij het afstemmen van de bedrijfsvoering op de nieuwe GDPR. Er zijn echter algemene eisen waaraan alle organisaties die persoonsgegevens verwerken moeten voldoen, hoe klein de organisatie ook is."
1. Breng alle gegevens in kaart
"De eerste stap om te voldoen aan de GDPR is het in kaart brengen hoe persoonsgegevens worden opslagen, verwerkt, gedeeld en gebruikt binnen de organisatie," begint Haq. Een van de eerste stappen hierin is, aldus Haq, het uitvoeren van een grondige audit. "Vergelijk daarbij de huidige processen met de vereisten van de nieuwe wetgeving. Kijk welke aanpassingen nodig zijn en het beste bij de behoeften van de organisatie passen. Het is belangrijk om te weten dat de nieuwe GDPR-verplichtingen niet alleen gelden voor uw eigen organisatie, maar ook voor derden die persoonsgegevens verwerken namens uw organisatie."
2. Bepaal wie verantwoordelijk is voor gegevensbescherming
"Sommige organisaties zullen een Data Protection Officer (DPO) moeten aanstellen," vervolgt zij. "Alle organisaties zijn verplicht een gegevensbeschermingsplan te implementeren. Mogelijk moet u het bestaande beleid voor gegevensbescherming aanpassen en uw medewerkers trainen. Niet alle organisaties hoeven een DPO aan te stellen, maar in sommige gevallen kan het wel verstandig zijn. Vooral voor organisaties die op grote schaal bepaalde typen gegevens verwerken of persoonsgegevens bijhouden voor bijvoorbeeld persoonsgerichte online advertenties."
3. Stel de juridische basis voor gegevensverwerking vast
Haq: "De organisatie moet bekijken op welke juridische grondslagen de verwerking van verschillende typen persoonsgegevens zijn gebaseerd. Als voor het verwerken van gegevens toestemming nodig is, moet er gekeken worden hoe deze wordt verkregen en moet duidelijk zijn hoe en wanneer die toestemming gegeven is."
4. Verdiep u in de rechten van de betrokkenen
Onder de GDPR heeft de betrokkene waarvan de organisatie gegevens verwerkt, nieuwe rechten zoals recht op inzage, rectificatie, gegevensverwijdering en overdraagbaarheid. Haq benadrukt dat u op een aantal vragen antwoord moet krijgen: "Kan uw organisatie de persoonsgegevens makkelijk vinden en deze verwijderen of overdragen? Kan uw organisatie snel reageren op verzoeken over persoonsgegevens? Houden uw organisatie en de externe partijen waarmee u werkt bij waar gegevens opgeslagen zijn en hoe deze gegevens worden verwerkt en gedeeld?"
5. Pas privacy by design toe
"Onder de GDPR zijn organisaties tijdens de ontwikkeling van nieuwe producten, processen en diensten verplicht aandacht te besteden aan privacyverhogende systemen. Bij privacy by design houdt u vanaf het begin van een nieuw project al rekening met privacy in plaats van dat er pas in een later stadium maatregelen worden getroffen," legt Haq uit. "Zo beperkt u privacyrisico's. Zijn de persoonsgegevens alleen toegankelijk voor personen die deze gegevens echt nodig hebben voor hun werk? In bepaalde omstandigheden is het verstandig om een privacy impact assessment (PIA) uit te voeren voordat u gegevens gaat verwerken."
6. Stel protocollen op voor het managen van datalekken
"Uw organisatie moet beleid en protocollen opstellen voor het managen van eventuele datalekken," benadrukt Gazala Haq. "Het moet duidelijk zijn welke instanties op de hoogte moeten worden gesteld in geval van datalekken en wanneer dit moet gebeuren. Als het datalek niet of niet correct wordt gemeld dan loopt uw organisatie het risico op boetes."
7. Maak belangrijke informatie helder
Haq licht toe: "Onder de GDPR bent u verplicht betrokkenen te melden waarom u hun gegevens verwerkt en moet u zorgen dat het duidelijk is bij welke instanties ze klachten kunnen indienen bij eventuele problemen. Zorg ervoor dat uw online privacybeleid up-to-date is."
8. Werk samen met serviceproviders
De GDPR geldt voor de beveiliging van het gehele gegevensverwerkingstraject. "Dus ook voor serviceproviders die gegevens verwerken namens uw organisatie," beklemtoont Haq "Als u een externe partij gebruikt voor gegevensverwerking, betekent dat niet dat uw organisatie niet hoeft te voldoen aan de GDPR-regelgeving. Bekijk of de gegevensverwerkers voldoen aan de hoogste eisen met betrekking tot gegevensbeveiliging, ervaring hebben met grootschalige gegevensbeveiliging en tools hebben om gegevens beter te beheren en risico’s op datalekken te beperken. Controleer of de serviceprovider aan internationale standaarden voor gegevensbeveiliging voldoet, zoals de norm ISO 27018. Vraag uw provider naar hun netwerk- en informatiebeveiliging (bijvoorbeeld versleuteling en toegangsbeheer op applicatieniveau), beveiligingsbeleid, training en risicoanalyses en testmaatregelen."
Externe partijen
Haq ten slotte: "Ook kunnen externe IT-dienstverleners bedrijven (in het bijzonder in het MKB) helpen te voldoen aan de nieuwe regelgeving. Clouddiensten die vanaf het begin al zijn ontwikkeld met een sterke nadruk op beveiliging en privacy, kunnen uw organisatie helpen om aan de GDPR-verplichtingen te voldoen. Kijk welke clouddiensten u kunnen helpen met toegangsbeheer voor bedrijfsgegevens, het verwerken van informatieaanvragen en het verbeteren van de beveiliging."
