6704930 Whitepaper GDPR-LR

General Data Protection Regulation; en nu?
In zes stappen naar een ’privacy-proof’ organisatie!
change+development
taking you forward

General
Data Protection
Regulation;
en nu?
In zes stappen naar een ’privacy-proof’ organisatie!
• Bent u bekend met de actuele privacy wetgeving in Nederland en Europa?
• Kent u de impact van de privacy wetgeving op uw organisatie?
• Is er een privacy beleid binnen uw organisatie?
• Zijn er gedragsregels rondom privacy voor uw medewerkers?
• Bent u bekend met de bewaartermijnen van persoonsgegevens?
• Informeert u de klant of medewerker met welk doel zijn of haar persoonsgegevens
worden verwerkt?
• Bent u voorbereid op de gevolgen van een mogelijk datalek?
Heeft u één of meerdere vragen met nee beantwoord dan is de kans groot dat uw
organisatie handelt in strijd met de privacywetgeving. In het onderstaande artikel leest
u hoe u uw organisatie in zes stappen klaar kan stomen voor GDPR.
GDPR, wat
houdt het nu
eigenlijk in?
Wat is GDPR?
General Data Protection Regulation (GDPR) oftewel Algemene Verordening
Gegevensbescherming is de afgelopen tijd steeds meer in het nieuws, maar wat houdt
het nu eigenlijk in? In essentie moet GDRP er voor zorgen dat bedrijven de privacy
rechten van de individuele consument respecteren. Hiermee is GDPR relevant voor alle
organisaties die persoonlijke gegevens van inwoners van de EU verzamelen, verwerken
en gebruiken.
2
change+development
taking you forward

GDPR is ontworpen om persoonlijke informatie beter te beschermen in een
digitaliserende wereld en betekent verreweg de grootste verandering van de wet- en
regelgeving op het gebied van gegevensbescherming van deze eeuw. Het omvat meer
dan vijftig artikelen en heeft verstrekkende gevolgen voor organisaties die persoonlijke
gegevens gebruiken en opslaan.
Nieuwe eisen vanuit de GDPR
Hieronder vindt u een opsomming van een aantal nieuwe eisen:
• Verhoogde geografische reikwijdte: de wetgeving is van kracht op elke organisatie
die zaken doet met Europese burgers, ongeacht hun vestigingslocatie. Dit geldt dus
bijvoorbeeld ook voor Amerikaanse of Chinese organisaties.
• Toestemming en verstrekking: elke organisatie wordt geacht de vraag om
toestemming voor het gebruik van persoonlijke data in duidelijke en eenvoudige
taal te formuleren en in een toegankelijke vorm te verstrekken aan de burgers.
Daarnaast moet het intrekken van toestemming voor het gebruik van persoonlijke
data even makkelijk mogelijk zijn als het geven van toestemming.
• Meldplicht datalekken: er komt een meldplicht voor datalekken. Een organisatie
moet melding maken van het datalek bínnen 72 uur nadat het lek is ontdekt.
Daarnaast moet de burger geïnformeerd worden over het datalek.
• Inzage recht: iedere burger heeft het recht inzage te krijgen in hoe een organisatie
change+development
zijn of haar persoonsgegevens verwerkt. Een organisatie heeft de plicht deze
inzage kosteloos te verschaffen.
taking you forward
3
Meldplicht
datalekken

Privacy
by design
• Dataportabiliteit: burgers moeten de mogelijkheid hebben persoonsgegevens
van de ene naar de andere dienstverlener over te zetten zonder al te veel moeite.
Daarnaast zouden burgers geen data meer hoeven te delen die niet relevant is.
• Privacy by design: Privacy by Design wordt verplicht. Organisaties mogen alleen
data verzamelen en verwerken als dat écht nodig is voor het verrichten van het
doel (dataminimalisatie). Daarnaast wordt de toegang tot deze data beperkt
tot medewerkers die voor het uitoefenen van hun rol ook écht toegang tot deze
persoonsgegevens nodig hebben.
• Data Protection Officer (DPO): voor (grotere) organisaties die persoonlijke data
verwerken moet een onafhankelijke DPO worden aangesteld die zowel kennis
heeft van privacywetgeving, informatiebeveiliging als risicomanagement.
Het is duidelijk; GDPR leidt tot een sterke groei van de compliance verplichtingen. Het
doorvoeren van GDPR vereist aanpassing en aanscherping van het bestaande beleid. Er
wordt streng gecontroleerd op de naleving van GDPR; blijf je als organisatie in gebreke
dan kunnen de boetes oplopen tot 4% van de jaarlijkse wereldwijde (groeps)omzet tot
maximaal 20 miljoen euro. Niets doen is dus geen optie.
GDPR, wat betekent dit voor u?
De impact van GDPR is groot, maar de GDPR biedt naast verplichtingen ook duidelijke
kansen en voordelen. Het belangrijkste voordeel zit in de standaardisatie; er geldt
nu eindelijk één privacy standaard voor de gehele Europese Unie. Wanneer u GDPR
compliant bent in Nederland dan bent u dat dus ook in alle andere Europese landen.
4
change+development
taking you forward

Dit is een groot voordeel ten opzichte van de oude situatie waar binnen Europa
opererende organisaties moesten voldoen aan de 28 verschillende Europese
standaarden. Daarnaast komt er door deze Europese wetgeving één overkoepelend
orgaan. Organisaties hebben daardoor slechts één aanspreekpunt, namelijk de Data
Protection Authority (DPA).
28
verschillende
Europese
standaarden
GDPR compliance in zes stappen 1
Hoe wordt mijn organisatie ‘privacy proof’? Dat is een belangrijke vraag die u als
organisatie graag beantwoord ziet. Hieronder leest u de zes mogelijke stappen die
leiden tot het antwoord op deze vraag.
change+development
taking you forward
5

Allereerst heb je de oriëntatiefase waarbij de focus ligt op het creëren van
bewustwording en draagvlak voor GDPR binnen uw organisatie. Daarna kunt u zich
focussen op wat u wilt bereiken als organisatie (ambitiefase). Het borgen van deze
ambities in de organisatie gebeurt in de operationele fase. De volgende stappen helpen
u bij het doorlopen van deze fases.
Privacy proof
in 6 stappen
Stap 1 - Welke data zijn persoonlijke gegevens?
De eerste stap is het identificeren van persoonlijke gegevens die uw organisatie
verzamelt over ‘data subjects’. GDPR is slechts van toepassing op persoonlijke gegevens
die betrekking hebben op identificeerbare natuurlijke personen, zogenaamde data
subjects die nog in leven zijn.
6
change+development
taking you forward

Persoonlijke herleidbare informatie (PHI) zijn alle gegevens die direct of indirect terug
te voeren zijn naar een data subject. Persoonlijke gegevens omvatten onder andere
NAW- gegevens, burger service nummers, gebruikersnamen en wachtwoorden,
financiële gegevens maar ook informatie over godsdienst, etniciteit, seksuele
geaardheid etc. Dit strekt ver; het betreft namelijk ook IP-adressen, cookies en andere
´device identifiers´ die gebruikte apparatuur herkennen.
Waar bevindt
zich de
informatie
Stap 2 - Is GDPR van toepassing?
De tweede stap is om te toetsen of én welke regels van GDPR van toepassing zijn op uw
organisatie. Het is belangrijk de relevantie te kennen van de 50 GDPR artikelen voor úw
organisatie.. Meer informatie hierover kunt u vinden op de website www.eugdpr.org.
Stap 3 - Waar bevindt de PHI zich in de organisatie?
Bepalen welke PHI zich waar bevindt, is een belangrijke voorwaarde om überhaupt aan
de verplichtingen te kunnen voldoen. Dat vraagt inventarisatie en analyse van data op
bedrijfssystemen, apparatuur van medewerkers, externe (´cloud´) servers en archieven,
en informatie in gebruik of bewaring bij leveranciers, onderaannemers en andere
partners die privacygevoelige gegevens namens de organisatie verwerken.
Stap 4 - Ontwikkel een ´data locatie dashboard´ en classificeer alle informatie
Na de analyse in stap 3 is het advies om een ´data locatie dashboard´ te maken, een
informatieplattegrond die in één oogopslag een totaaloverzicht biedt van wat de
oorsprong is van de privacygevoelige informatie, waar die informatie zich bevindt en
hoe de informatiebronnen verbonden zijn met andere systemen (data lineage). Dat
geeft makkelijk én voortdurend inzicht in de plaats, aard en waarde van alle informatie.
Daarnaast kun je hier andere informatie aan linken, zoals bijvoorbeeld gegevens
omtrent de beveiliging van de locaties en de toegankelijkheid van de data.
change+development
taking you forward
7

Beoordeel en
verbeter het
bestaande
infobeleid
Stap 5 - Beoordeel en verbeter het bestaande informatiebeleid
Nu het duidelijk is welke informatie zich waar bevindt, wat de aard en waarde ervan is
en hoe die informatie wordt gedeeld, is het belangrijk te bepalen wat ermee gebeuren
mág en hoe ermee moet worden omgegaan. Wat zijn bijvoorbeeld de bewaartermijnen?
GDPR vraagt om adequate beleidsregels ten aanzien van die bewaartermijnen, in
overeenstemming met de wet- en regelgeving en contractuele verplichtingen. Het komt
erop neer dat er nét genoeg relevante informatie, maar niet meer dan strikt noodzakelijk
wordt bewaard, gebruikt en gedeeld. En dat bewaren van die informatie moet dan niet
te kort (fiscus, patiëntgegevens), maar ook niet te lang (PHI). Gegevensvernietiging is een
delicate kwestie, die ook uiterst vertrouwelijk en aantoonbaar juist moet gebeuren.
Het informatiebeleid zal moeten worden aangepast op zowel organisatorisch,
technologisch en fysiek vlak.
8
change+development
taking you forward

change+development
Blijf
waakzaam en
onderneem
actie
Stap 6 - Data Governance: blijf waakzaam en onderneem de nodige actie
Ten slotte is het belangrijk dat de gehele organisatie en de partners zich bewust zijn
van de verplichtingen en afspraken en dat er eenduidigheid bestaat over bijvoorbeeld
de bewaartermijnen en het vernietigingsbeleid. Regelmatige beoordeling is nodig
om gelijke pas te houden met veranderende wet- en regelgeving, contractuele
verplichtingen en eventuele bedrijfsmatige veranderingen.
Een goede Data Governance-organisatie waarbij verantwoordelijkheden en
eigenaarschap goed zijn vastgelegd en geborgen door de gehele organisatie, zal
helpen om meer ‘in control’ te zijn van GDPR. Denk hierbij aan data ownership en data
stewerdship.
Wil je meer weten over GDPR of hoe je een succesvolle Data Governance-structuur
creëert? Neem dan contact op met Luc Henstra, management professional bij ibc
Change + Development (T +31 6 142 462 09).
1
Bronvermelding: Artikel ‘Voor de informatiemanager is het aftellen nu begonnen’.
https://www.computable.nl/artikel/opinie/security/5851788/1509029/gdpr-compliance-in-zes-stappen.html
taking you forward 9