10 antwoorden op jouw GDPR-vragen

25 mei nadert met rasse schreden, en ik merk als securityadviseur een aanzienlijke toename in vragen over de komende GDPR (General Data Protection Regulation). Gelukkig hebben de meeste organisaties inmiddels wel door dat passief afwachten niet voldoende zal zijn.

Natuurlijk hebben we bij OGD hard gewerkt om in mei goed voorbereid te zijn op de nieuwe wetgeving. Onderstaande lijst geeft je alvast een aantal punten om over na te denken bij implementatie van de GDPR.

Kun je onderstaande tien GDPR-vragen positief beantwoorden? Dan is jouw organisatie goed op weg!

1.        Heb je al een Data Protection Officer (DPO)?

De GDPR stelt dat een organisatie een DPO moet aanstellen als ze voldoet aan minstens één van onderstaande gevallen:

  • jouw bedrijf heeft de verwerking van persoonsgegevens als kerntaak ;
  • je verwerkt op grote schaal persoonsgegevens;
  • je verwerkt bijzondere persoonsgegevens.

De DPO is belast met het toezien op correcte naleving van de GDPR binnen de organisate en heeft verregaande autoriteit. Binnen OGD werkt de DPO nauw samen met de Information Security Officers.

2.        Heb je een up-to-date informatiebeveiligingsbeleid?

Zonder beleid en governance op het gebied van informatiebeveiliging wordt het een flinke uitdaging om de persoonsgegevens die je verwerkt adequaat te classificeren. Dataclassificatie is één van bouwstenen van een effectief informatiebeveiligingsbeleid.

3.        Wist je dat er onderscheid wordt gemaakt tussen persoonsgegevens en bijzondere persoonsgegevens?

Een eenvoudige definitie van persoonsgegevens luidt: informatie die herleidbaar is tot een natuurlijk persoon. Sommige informatie is echter extra gevoelig en valt daarom onder de noemer bijzondere persoonsgegevens. Denk hierbij aan godsdienst, ras of seksuele voorkeur. Verwerking van dit soort gevoelige informatie brengt dus automatisch extra verantwoordelijkheden met zich mee.

4.        Heb je al een Dataregister opgesteld?

De GDPR zal van je verlangen dat je, bijvoorbeeld op verzoek van de Autoriteit Persoonsgegevens, inzicht kunt geven in de persoonsgegevens die je verwerkt. Dit ‘register van verwerkingsactiviteiten’ moet onder meer antwoord geven op vragen als: welke data heb ik, waarom, waar en hoe beveilig ik het?”. Een DPO werkt actief samen met de rest van de organisatie om dit in kaart te brengen.

5.        Weet je wat een Data Privacy Impact Assessment (DPIA) is?

De Nederlandse vertaling is niet mis: gegevensbeschermingseffectbeoordeling. Een DPIA is slechts verplicht als de verwerking van de gegevens een hoog privacyrisico oplevert voor de betrokken personen. Maar het is sowieso een goed idee om een DPIA te doen, deze helpt je namelijk om risico’s te verkleinen.

6.        Gebruik je al verwerkersovereenkomsten?

Een verwerkersovereenkomst is een (onderdeel van een) contract tussen de eigenaar en de verwerker van gegevens, bijvoorbeeld jouw organisatie en de salarisadministrateur. In de overeenkomst staan onder meer afspraken over het doel en de manier van verwerking. Vaak zijn er ook aanvullende afspraken vastgelegd, bijvoorbeeld afspraken omtrent geheimhouding en beveiliging.

7.        Doe je al aan Privacy by design?

De GDPR vereist dat je al vóór het implementeren van nieuwe processen, producten of systemen nadenkt over de privacy van betrokken en dat je de impact zo laag mogelijk houdt. Privacy by design moet wezenlijk onderdeel uitmaken van de business. Dit houdt verband met, maar is niet hetzelfde als privacy by default, dat te maken heeft met onder meer ontwerpkeuzes.

8.        Verkrijg je toestemming wel op een ondubbelzinnige manier?

Over het wel of niet verplicht zijn van het verkrijgen van toestemming voor het verwerken van persoonsgegevens kun je een complete bibliotheek vullen. Wat wel belangrijk is: bij het vragen om toestemming moet de betrokkene vrij zijn om dit te weigeren. Ook moet de vraag specifiek en begrijpelijk zijn.

9.        Raak je niet in paniek bij een datalek?

Sinds een jaar of twee zijn we in Nederland al verplicht om de Autoriteit Persoonsgegevens op de hoogte brengen in geval van een (vermoedelijk) datalek. We spreken van een datalek als ongeautoriseerde personen toegang krijgen tot persoonsgegevens. Er wordt een hoop geschreven over eventuele sancties en de meldplicht binnen 72 uur. Het is dus een goed idee om vooraf al te bedenken hoe je handelt bij een datalek. Stel twee procedures: een voor datalekken binnen je organisatie en een voor lekken naar buiten. Belangrijk is vooral dat de verantwoordelijken op de hoogte zijn van de procedure en dat men weet wie binnen de organisatie op de hoogte te stellen, zodat de juiste stappen genomen kunnen worden.

10.      Zijn je collega’s al op de hoogte?

Zonder awareness binnen de organisatie blijf je een roepende in de woestijn. Goede middelen voor het kweken van bewustzijn zijn berichten op je intranet, workshops, interactieve trainingen en posters op kantoor. Veel organisaties hebben inmiddels al een awarenesscampagne op het gebied van informatiebeveiliging.

Geschrokken?

Zo, dit waren 10 puntjes om rekening mee te houden bij het voldoen aan de GDPR. Viel wel mee toch?

Toch geschrokken van het werk dat jouw organisatie nog te wachten staat? Of heb je andere GDPR-vragen? Wij kunnen je helpen in een vrijblijvend en informatief gesprek.

Lean servicedesk