Ict-dienstverlener Atos biedt een oplossing gericht op de naleving van de Global Data Protection Regulation (GDPR)-wetgeving die binnenkort in Europa van kracht gaat. Atos heeft dataprotectie in de service-oplossingen verankert door het continu monitoren van het niveau van informatiebeveiliging.
Met de GDPR-wetgeving moet een organisatie adequate maatregelen treffen om de persoonlijke data die zij verwerken afdoende te beschermen. Inbreuken op deze data moeten direct worden gerapporteerd aan autoriteiten op het gebied van dataprotectie. Daarnaast moeten organisaties een functionaris aanstellen die verantwoordelijk is voor dataprotectie en de contacten met toezichthoudende organen. Een ontoereikende bescherming van data en een gebrekkige naleving van de GDPR-richtlijnen kan leiden tot een boete die kan oplopen tot 5 procent van de jaaromzet die het bedrijf wereldwijd realiseert. Ook medewerkers moeten de richtlijnen naleven, zeker als zij toegang hebben tot vertrouwelijke data van burgers. Dit onderstreept volgens Atos het belang om compliance in te bedden in de bedrijfsprocessen.
Atos heeft dataprotectie in de service-oplossingen verankerd door het continu monitoren van het niveau van informatiebeveiliging met het Information Security Management-systeem. Atos in de Benelux en The Nordics heeft besloten deze aanpak te standaardiseren en aan het einde van vorig jaar voor alle service lines en landen in deze regio de ISO27001-certificatie verkregen.
Stappenplan
Behalve de eigen processen te verbeteren stelde de dienstverlener ook een vijf stappenplan op om klaar te zijn voor de GDPR-richtlijnen.
1. Inzicht in Data Governance – voorafgaand aan een compliance-project is het van belang om kwalitatieve data beschikbaar te hebben om de bron hiervan te kunnen achterhalen en te begrijpen op welk systeem of toepassing ze bewaard worden en of de informatie accuraat en volledig is. Als sprake is van betrokkenheid van andere partijen moeten afspraken over opslag, gebruik en eigendom van data worden vastgelegd in contracten.
2. Gap-analyse – organisaties beschikken meestal al over controlemechanismes op het gebied van privacy. Als nieuwe wetgeving van kracht wordt, zoals GDPR, is het belangrijk om vast te stellen welke controls afdoende zijn om te voldoen aan de richtlijnen en welke controls uitgebreid of goedgekeurd moeten worden.
3. Ontwerp en implementatie van controls – zodra er inzicht is in de zwakke plekken in het proces van verslaglegging, bijvoorbeeld in hr- of financiële processen, moeten nieuwe controls ontworpen en geïntroduceerd worden om deze ongedaan te maken.
4. Installatie van gecodeerde programma’s – dit biedt waarborgen voor een veilige opslag of uitwisseling van gegevens, of het nu gaat om klanten, leveranciers of medewerkers. Er is nog steeds sprake van een mogelijk privacy-risico, namelijk als een individu deze data gebruikt voor een doel waarvoor geen toestemming is gegeven.
5. Controle van compliance en vindbaarheid van informatie – het is belangrijk alle data beschikbaar te hebben voor alle vragen die tijdens een audit gesteld kunnen worden. Het is de moeite waard aan een onafhankelijke partij te vragen een kwaliteitscontrole te verrichten, voordat de audit plaatsvindt. Deze kan advies geven over voorbereidende acties. Atos ondersteunt internationale bedrijven bij de voorbereiding op audits, zodat zij kunnen aantonen dat zij aan alle richtlijnen voldoen, met behulp van accurate en volledige informatie.
Multidisciplinaire aanpak
Gezien het grote belang van dataprotectie is het volgens Abbas Shahim, partner van Atos Consulting en verantwoordelijk voor Governance Risk & Compliance, cruciaal dat niet alleen it-processen in overweging worden genomen, maar ook de integratie hiervan met bedrijfsprocessen en de informatievoorziening eromheen. ‘Een gebrekkige cyber-security is onmiskenbaar een reële bedreiging van de privacy van consumenten. Atos past binnen de organisatie een multidisciplinaire aanpak toe op het gebied van privacy-analyse. Hiermee kunnen we ook andere organisaties helpen op het juiste spoor te blijven in de aanloop naar de GDPR-richtlijnen’, aldus Shahim.
