Ondernemen met de beste ondersteuning

Nieuws

GDPR-deadline niet gehaald? Zo wordt u toch nog compliant

27 juni 2018 - Na jaren van aankondigingen is de handhaving van de GDPR dan echt van kracht gegaan. Dat betekent echter niet dat alle bedrijven GDPR-proof zijn. Er is nog werk aan de winkel voor veel bedrijven, waaronder onze eigen overheid.

Volgens staatssecretaris Menno Snel van Financiën kan de Belastingdienst pas over een jaar voldoen aan de GDPR. Maar de overheid en andere bedrijven die bij deze groep horen, hoeven nog niet in paniek te raken.
Het wordt er niet gemakkelijker op; hoe langer bedrijven wachten, hoe meer werk het kost om te voldoen aan de GDPR-regelgeving. Tim Jesser, Director of Global Product Marketing bij Snow Software, geeft vier tips die het proces naar compliant worden vereenvoudigen.

1. Stel een functionaris voor gegevensbescherming aan
In het kader van de GDPR is een functionaris voor gegevensbescherming (DPO) vereist voor alle overheidsorganisaties die regelmatig persoonsgegevens verwerken of organisaties die gevoelige persoonsgegevens verwerken. Banken en andere financiële instellingen vallen volledig binnen deze twee categorieën, wat betekent dat bijna alle organisaties in deze sector een DPO moeten aanstellen of inhuren. Naar schatting zijn er zo’n 75.000 DPO’s nodig in Europa. Veel bedrijven hebben op dit moment een DPO in dienst, maar er zijn er ook nog veel op zoek. Vacatures zijn er dus in overvloed, maar het is moeilijk om de juiste persoon te vinden. Denk daarom aan oplossingen zoals DPO-as-a-service.

2. Focus op de belangrijkste artikelen van de wetgeving
Met 99 artikelen is de GDPR-wetgeving geen lichte kost om even snel te lezen. Gelukkig zijn sommige artikelen belangrijker dan andere. De belangrijkste om op te focussen zijn:

Artikel 30: Records of processing activities (RoPA): De RoPA richt zich op het identificeren van de plaats waar persoonsgegevens worden verwerkt, wie ze verwerkt en hoe ze worden verwerkt.

Artikel 32: Beveiliging van de gegevensverwerking: In artikel 32 zijn de ‘technische en organisatorische maatregelen’ opgenomen. Hierin staat dat organisaties "passende technische en organisatorische maatregelen moeten nemen om een op het risico afgestemd veiligheidsniveau te waarborgen".

Artikel 35: Data Protection Impact Assessment (DPIA): De DPIA registreert de gegevensverwerking van bijzondere en gevoelige gegevens en de beschermingsmaatregelen die voor deze verwerking zijn getroffen.

3. Breng de dode hoek in kaart
De meeste organisaties die zich hebben verdiept in de GDPR, begrijpen het belang van het identificeren van de locatie van alle persoonsgegevens. Ze richten zich op ERP-systemen en CRM-tools als SAP, Oracle-databases en middleware, Marketo en Salesforce. Maar dit zijn vaak niet alle systemen binnen het bedrijf die persoonsgegevens verwerken. De meerderheid van de applicaties, vooral SaaS-applicaties, worden niet meteen meegenomen door het GDPR-team. Dit komt omdat ze vaak onzichtbaar zijn. Ze zijn aangekocht door losse afdelingen die weinig betrokkenheid hebben met de IT-afdeling. Hierdoor vormen ze een dode hoek.
Het lastige aan de dode hoek is dat u nooit zeker weet óf u een dode hoek hebt. Om te voldoen aan de GDPR moeten de bewaarplaatsen van persoonlijke gegevens in de hele onderneming volledig zichtbaar zijn. Wees hierbij ook bewust van de gegevens die op mobiele telefoons worden bewaard; deze apparaten bevatten veel persoonlijke gegevens, zoals telefoonnummers en adressen. Geautomatiseerde tools kunnen helpen om alle plekken in de organisatie waar persoonlijke gegevens zijn opgeslagen te ontmaskeren.

4. Maak gebruik van een combinatie van mensen, processen en technologie
Er is geen wondermiddel voor de naleving van de GDPR; er is geen enkele applicatie of consultant die ervoor kan zorgen dat de naleving altijd perfect is. Het vraagt om een combinatie van mensen, processen en technologie.
 
  • Mensen: Het is belangrijk om een team voor GDPR op te zetten, bestaande uit de functionaris gegevensbescherming, IT-leiders en bedrijfsleiders van diverse functies, waaronder Compliance, Legal, HR, Customer Service en Marketing.
  • Processen: Zodra het team heeft vastgesteld welke persoonlijke gegevens worden gebruikt, moeten ze dit inzicht delen met de hele organisatie. Daarnaast moeten privacyregels worden gedocumenteerd en gedeeld met alle bedrijfsonderdelen.
  • Technologie: Er zijn een aantal oplossingen die de naleving van de GDPR kunnen versnellen en in stand kunnen houden. Bijvoorbeeld systemen die het beheer van verzoeken van personen kunnen behandelen, systemen voor het opsporen van gegevens, oplossing voor identificatie en toegangsbeheer en Software Asset Management die de gebruikers en de apparaten in kaart brengen.
Er is nog tijd om GDPR-compliant te worden voordat boetes worden uitgedeeld of er een ernstige overtreding plaatsvindt. Maar vooral in een industrie waar gevoelige klanteninformatie overheersend is, is er niet veel tijd en ruimte meer. De bovengenoemde stappen kunnen helpen een start te maken met alle processen op orde krijgen.
 

Doorsturen  |  Reageer  |  Nieuwsbrief

Reacties

Er zijn nog geen reacties.

Reageren

http://
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de
code te wijzigen.