Over ongeveer zes maanden vindt een van de grootste wetswijzigingen op het gebied van databescherming en privacy plaats. Om precies te zijn gaat op 25 mei 2018 de General Data Protection Regulation (GDPR) van kracht. Ofwel de Algemene Verordening Gegevensbescherming (AVG). Deze wet heeft als doel om de persoonsgegevens van burgers te beschermen.
Het zet bedrijven ertoe aan om ‘privacy by design’ in hun beveiligingsstrategie op te nemen en verantwoordelijker om te gaan met de persoonsgegevens van hun klanten.
Door de GDPR wordt databescherming een topprioriteit voor bedrijven. Maar hoe kunnen zij er nu voor zorgen dat zij aan de nieuwe wet voldoen? Hieronder volgt een slimme aanpak in zes stappen:
Stap 1: Verwerf inzicht in het juridische kader van de GDPR
De eerste stap op weg naar compliancy is om kennis op te doen over de bestaande wetgeving en inzicht te krijgen in de gevolgen voor bedrijven die niet aan de wettelijke eisen voldoen. Dit is de uitgelezen taak voor een ‘data protection officer’ (dpo). Ongeacht de omvang van het bedrijf is het cruciaal om een expert in deze functie aan te stellen. De dpo heeft bij voorkeur een achtergrond in ict en rechten. GDPR-compliancy vraagt namelijk om begrip van zowel het regelgevingskader als de technische eisen waaraan de it-omgeving moet voldoen. Aangezien elke organisatie uniek is, ziet het traject naar GDPR-compliancy er telkens weer anders uit. Tevens is het belangrijk om herhaaldelijk een audit uit te voeren die de overeenstemming met het juridische kader van de GDPR toetst. Zodoende kan de dpo zorgdragen voor een nauwkeurige naleving van de wet.
Stap 2: Documenteer alle acties en gegevens
Zodra bedrijven een duidelijk beeld hebben van de mate waarin hun organisatie aan de eisen van de GDPR voldoet, moeten zij het compliancy-proces vastleggen. Elke lidstaat van de EU kent een Data Protection Authority (DPA) die toeziet op de naleving van de GDPR. Deze toezichthouder stelt vast of bedrijven aan de eisen voldoen en bepaalt de hoogte van boetes indien de wet wordt overtreden. Als er geen bewijs is dat het bedrijf in kwestie ook maar een beetje met het compliancy-proces is begonnen, kan de DPA een boete opleggen ter hoogte van 2 procent tot 4 procent van de totale bedrijfsomzet. De boete zal altijd in proportie staan tot de gelekte gegevens of non-compliancy met de wet. Dit is afhankelijk van de gevoeligheid van de gelekte of verloren persoonsgegevens. Het bijhouden van een dataregister is daarom cruciaal.
Stap 3: Stel prioriteiten door dataclassificatie
Deze stap omvat het prioriteren van gegevens die bedrijven dienen te beschermen. Eerst is het zaak om alle persoonlijk identificeerbare informatie van Europese burgers die zich in de organisatie bevindt in kaart te brengen. Dit zijn gegevens waaraan hun identiteit, direct dan wel indirect, kan worden afgeleid. Het is belangrijk om na te gaan waar die informatie is opgeslagen, wie er toegang toe heeft en met wie dit wordt gedeeld. Vervolgens kan worden vastgesteld welke gegevens de hoogste prioriteit hebben en dus als eerste bescherming nodig hebben.
Persoonsgegevens zijn altijd het meest waardevol voor hackers, de kans dat deze worden gestolen is dan ook het hoogst. Dit blijkt ook uit de meest recente Breach Level Index. Persoonsgegevens moeten daarom de hoogste prioriteit krijgen. Het is belangrijk om daarbij rekening te houden met de rechten van EU-burgers. Zo zijn rechten inzake de overdraagbaarheid van persoonsgegevens en beperkingen ten aanzien van de verwerking daarvan een belangrijk aandachtspunt.
Stap 4: Begin met uw topprioriteit
Na de analyse is het van belang de data daadwerkelijk goed te beveiligen. Begin met de beveiliging van de topprioriteiten en bepaal hiervoor de juiste strategie. Ga na hoe de persoonsgegevens precies beschermd moeten worden (bijvoorbeeld met encryptie, tokenization of zoals beschreven in de wet: ‘pseudonimisatie’). Let op! Gegevens met een extreem privacygevoelig karakter zijn hierbij de prioriteit. Het is belangrijk om er rekening mee te houden dat persoonsgegevens moeten worden beschermd vanaf de dag waarop ze worden verzameld tot en met de dag waarop ze niet langer benodigd zijn. In dat laatste geval is een correcte wijze van vernietiging vereist.
Naast technisch maatregelen moeten ook de nodige organisatorische maatregelen worden genomen om het kader waarin de gegevens worden gebruikt te beveiligen. Dit wil zeggen dat de structuur, richtlijnen en procedures op maat moeten worden afgestemd op het gebruik van de gegevens.
Stap 5: Evalueer en documenteer de overige risico’s
De volgende stap is om overige risico’s te analyseren en te documenteren om zicht te krijgen op welke punten de onderneming nog meer kwetsbaar is. Werk alle acties tijdens deze stap bij in de documentatie als beschreven in stap twee. Aan de hand hiervan kan de DPA aflezen hoe en wanneer de risico’s worden aangepakt. Dergelijke maatregelen zijn essentieel om de DPA aan te tonen dat compliancy en databescherming serieus genomen worden en dat daadwerkelijk actie wordt ondernomen.
Stap 6: Inrichten van een continu proces
De laatste stap omvat het evalueren van de resultaten van de voorgaande stappen. Trek hieruit de nodige lessen om het proces verder te verbeteren. Voldoen aan de GDPR is immers geen momentopname aangezien de systemen en omgevingen altijd onderhevig zijn aan nieuwe functionaliteiten. Bedrijven moeten hun prioriteiten bepalen en het proces continu herhalen vanaf stap vier.
Succes-sleutel
Met dit stappenplan kan elk bedrijf nog ver komen met de voorbereiding op de GDPR. Maar belangrijker nog, door dit stappenplan te volgen tonen organisaties aan serieus met de nieuwe wet- en regelgeving om te gaan. De beveiliging moet vanaf nu voorop staan bij business as usual, bij elk nieuw idee en bij elke nieuwe applicatie. Privacy by design is de sleutel tot succes.
