Wat houdt de GDPR in?
Op 25 mei 2016 is de General Data Protection Regulation (GDPR), oftewel Algemene Verordening Gegevensbescherming (AVG), van kracht geworden.
De GDPR is een Europese privacy wet die als doel heeft data van haar inwoners te beschermen en een persoon (datasubject) meer inzicht en controle te geven over zijn of haar data. Deze wet is grofweg van toepassing op alle bedrijven en instellingen in de EU (en soms ook daarbuiten) die persoonsgegevens verwerken (van klant en/of werknemer), zowel binnen de EU als daarbuiten.
Organisaties zijn verplicht om aan te tonen dat de data, die ze in datacenters of in de Cloud opslaan buiten de EU, voldoet aan de eisen van de nieuwe wetgeving. Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens deze wet actief gaan handhaven. Daarnaast dienen datalekken binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens.
Inzicht in risico’s
Het is ontzettend belangrijk om eerst voldoende inzicht te hebben in de eventuele risico’s die het verwerken van persoonsgegevens binnen de organisatie met zich meebrengen. Om dit inzicht te verkrijgen zou je kunnen starten met het uitvoeren van Data Protection Impact Assessments (DPIA). Deze keuze is aan jou als ‘controller’ van deze data, maar kan in sommige gevallen verplicht zijn.
Op de website van de Autorisatie Persoonsgegevens vind je veel informatie over de te nemen maatregelen omtrent de GDPR. Hier vind je tevens een stappenplan welke je kan helpen op de weg naar compliancy.
Doelmatigheid, toestemming en vastlegging
Doelmatigheid, toestemming en vastlegging zijn drie belangrijke kernwoorden voor een organisatie aangaande de GDPR. In de praktijk zien we veel organisaties worstelen met doelmatigheid, waarbij doel en termijn van de verwerking van persoonsgegevens moet worden vastgesteld. De vraag waar, waarvoor en wanneer persoonsgegevens worden gebruikt is voor organisaties vaak lastig te beantwoorden. Neem bijvoorbeeld een webshop. Bij het plaatsen van een bestelling zijn NAW-gegevens nodig, maar waarom zouden deze eindeloos moeten worden bewaard? Als de garantieperiode van de aankoop is verlopen, hebben deze gegevens geen praktisch nut meer. Deze kunnen dan verwijderd worden.
Er dient te allen tijde toestemming gevraagd te worden voor het bewaren van gegevens voor een bepaalde tijd en specifiek doel; een cruciaal onderdeel van de GDPR. Deze toestemming kan altijd eenzijdig door een persoon worden ingetrokken. Het vastleggen van alle zaken onder invloed van GDPR (o.a. doelmatigheid, toestemming, autorisatie) is net zo belangrijk. In kleine organisaties zie je bijvoorbeeld vaak dat er wel bekend is wie verantwoordelijk is voor welke informatie, maar dat dit nergens vastgelegd is. Met behulp van de DPIA kunnen organisaties aan de slag met hun informatiebeveiligingsstrategie.
Maatregelen voor compliancy
Maatregelen beginnen vaak, en worden ondersteunt door het opstellen van beleid. Neem het huidige beleid goed onder de loep. Is er duidelijk beschreven wie in de organisatie bij welke persoonsgegevens kunnen? Is er vastgelegd welke persoonlijke data wordt verwerkt en door wie dat wordt gedaan? Is duidelijk vastgesteld hoe lang en met welk doel deze data wordt bewaard? Het is van belang dat beleid rondom privacy in elk project en bij iedere samenwerking goed wordt belicht en beschreven maar er dient bijvoorbeeld ook beleid opgesteld te worden voor het melden van een datalek.
Het is tevens van belang dat bij ieder project GDPR compliancy wordt meegenomen. Wat gaan we doen? Waarom? En wie betreft het? Dit proces wordt ook wel ‘Privacy by design’ genoemd. Het gaat veel verder dan éénmalig kijken en beoordelen; het doel is om GDPR compliancy in te bedden in de gehele organisatie.
Naast bovenstaande aandachtspunten kunnen de volgende maatregelen worden genomen op het gebied van SAP systemen:
- Identity & Access Management: stel vast voor wie je welke persoonsgegevens beschikbaar stelt en hoe je dat het beste kunt doen. Denk o.a. aan Identity Lifecycle management, sterke authenticatie en Single Sign-On.
- Encryptie (data in rest / data in transfer):versleutel gegevens, zowel bij data in transfer als bij data-opslag.
- Data-analyse en -scrambling: kopieer het productiesysteem naar het testsysteem. In het testsysteem zijn autorisaties vaak ruimer, dus is het zaak om niet met echte data te werken, maar met data die niet te herleiden is naar een persoon.
- Security monitoring: bespreek waar er risico’s liggen en bewaak deze constant en zorg ervoor dat je ze direct kunt detecteren.
- Vulnerability management & Hardening: bewaak voortdurend preventief je belangrijke assets en los eventuele kwetsbaarheden op tijd op.
- Archivering: zorg dat je je houdt aan de termijnen van het behouden van data en het toezicht daarop (denk hierbij aan retentiemanagement).
Er komt veel kijken bij de GDPR en er is nog steeds veel om over na te denken en te onderzoeken. Het begint echter met bewustwording en inzicht creëren met de juiste betrokkenen in de organisatie!
Mocht je meer willen weten of kun je hulp gebruiken bij de te nemen maatregelen neem dan contact op met myBrand. Wij helpen je graag op weg naar compliancy.
