Op 25 mei 2018 wordt de GDPR (AVG)-wetgeving van kracht en die zal invloed hebben op alle bedrijven die data gebruiken van Europese burgers. Met de nieuwe regelgeving wil de Europese Unie de gegevens van de burgers beter beschermen. Zo zullen zij onder meer het recht hebben om ‘vergeten te worden’ en oude gegevens of informatie waarvan zij vinden dat het foutief bemachtigd of fout is, te laten verwijderen.
Organisaties moeten over die informatie volledig transparant zijn als ernaar gevraagd wordt en kenbaar maken over welke persoonlijke gegevens ze allemaal beschikken, zogenaamde ‘personal identifiable information’ (pii). Ook moeten ze aangeven op welke manier ze deze gegevens gebruiken, hoe ze aan de informatie zijn gekomen en aan wie ze die informatie doorspelen. Als de regelgeving wordt overtreden, riskeren organisaties boetes van twintig miljoen euro of 4 procent van hun globale jaaromzet.
Praktische feiten
Ondanks het feit dat de klok tikt, zijn veel bedrijven nog niet klaar voor de GDPR. Afdelingen moeten goed met elkaar samenwerken om alle technische, organisatorische en juridische zaken op orde te krijgen. Drie praktische feiten op een rijtje:
1. Bestaande procedures updaten.
Om te voldoen aan de vereisten van de GDPR, kunnen bedrijven de gevestigde procedures gebruiken. Degene die bijvoorbeeld al een goed werkend, geüpdatet information security management system (isms) aanwezig hebben in overeenstemming met ISO 27001, hebben al het halve werk gedaan. Het enige wat hen nog rest, is het uitbreiden van de scope, de processen instellen die databescherming vereisen en aanvullende legale controles implementeren. Dit is relatief eenvoudig als de vorige processen goed zijn geïmplementeerd.
2. Analyseer de situatie en controleer de processen .
Belangrijk is om op dit punt nogmaals de huidige situatie uitvoerig te analyseren, afgehandelde en onvoltooide taken op te sommen en een prioriteitenlijst te maken. Zorg dat vooral de infrastructuur up-to-date is – en daardoor ook veilig. Denk ook aan de netwerksystemen zoals cloudoplossingen, partnerapplicaties of supply chains. Daarna is het makkelijker te bepalen welke maatregelen er nog meer genomen moeten worden, of deze kunnen worden bewerkstelligd met de huidige infrastructuur en of er nog nieuwe hard- of software nodig is.
3. Moderne beveiliging.
Vergeet als laatste niet dat de GDPR de nieuwste en meest moderne beveiligingsmaatregelen voorschrijft, waaronder beveiliging tegen grote DDoS-aanvallen, antivirus- en antimalware-software en strikte identificatie- en authenticatiemethoden. Waarschijnlijk worden er al een aantal beveiligingsmaatregelen ingezet, maar door een risicoanalyse uit te voeren is het makkelijk te bepalen waar er extra maatregelen gewenst of nodig zijn. Denk hierbij aan een next-gen firewall, in tegenstelling tot een ‘ip table’-firewall.
Conclusie
Hoewel de GDPR veel overeenkomsten heeft met eerdere regelgevingen, moeten veel bedrijven hun compliance-maatregelen opnieuw ontwikkelen of herijken. Zo moeten bedrijven niet alleen hun eigen manier van handelen onder de loep te nemen, maar ook de procedures van al hun dienstverleners en partners wereldwijd die persoonsgegevens verwerken en opslaan. Daarnaast is er strenger risicobeheer nodig. De contracten voor contract dataprocessing moeten worden aangepast in samenwerking met de serviceproviders, of er moeten nieuwe worden afgesloten en ook de bestaande procedurebeschrijvingen moeten worden herzien.
Xavier Biermez, algemeen directeur Konica Minolta Business Solutions België en Nederland