General Data Protection Regulation; en nu?
In zes stappen naar een 'privacy-proof' organisatie!
In zes stappen naar een 'privacy-proof' organisatie!
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>G<strong>en</strong>eral</strong> <strong>Data</strong> <strong>Protection</strong> <strong>Regulation</strong>; <strong>en</strong> <strong>nu</strong>?<br />
In zes stapp<strong>en</strong> naar e<strong>en</strong> ’privacy-proof’ organisatie!<br />
change+developm<strong>en</strong>t<br />
taking you forward
<strong>G<strong>en</strong>eral</strong><br />
<strong>Data</strong> <strong>Protection</strong><br />
<strong>Regulation</strong>;<br />
<strong>en</strong> <strong>nu</strong>?<br />
In zes stapp<strong>en</strong> naar e<strong>en</strong> ’privacy-proof’ organisatie!<br />
• B<strong>en</strong>t u bek<strong>en</strong>d met de actuele privacy wetgeving in Nederland <strong>en</strong> Europa?<br />
• K<strong>en</strong>t u de impact van de privacy wetgeving op uw organisatie?<br />
• Is er e<strong>en</strong> privacy beleid binn<strong>en</strong> uw organisatie?<br />
• Zijn er gedragsregels rondom privacy voor uw medewerkers?<br />
• B<strong>en</strong>t u bek<strong>en</strong>d met de bewaartermijn<strong>en</strong> van persoonsgegev<strong>en</strong>s?<br />
• Informeert u de klant of medewerker met welk doel zijn of haar persoonsgegev<strong>en</strong>s<br />
word<strong>en</strong> verwerkt?<br />
• B<strong>en</strong>t u voorbereid op de gevolg<strong>en</strong> van e<strong>en</strong> mogelijk datalek?<br />
Heeft u één of meerdere vrag<strong>en</strong> met nee beantwoord dan is de kans groot dat uw<br />
organisatie handelt in strijd met de privacywetgeving. In het onderstaande artikel leest<br />
u hoe u uw organisatie in zes stapp<strong>en</strong> klaar kan stom<strong>en</strong> voor GDPR.<br />
GDPR, wat<br />
houdt het <strong>nu</strong><br />
eig<strong>en</strong>lijk in?<br />
Wat is GDPR?<br />
<strong>G<strong>en</strong>eral</strong> <strong>Data</strong> <strong>Protection</strong> <strong>Regulation</strong> (GDPR) oftewel Algem<strong>en</strong>e Verord<strong>en</strong>ing<br />
Gegev<strong>en</strong>sbescherming is de afgelop<strong>en</strong> tijd steeds meer in het nieuws, maar wat houdt<br />
het <strong>nu</strong> eig<strong>en</strong>lijk in? In ess<strong>en</strong>tie moet GDRP er voor zorg<strong>en</strong> dat bedrijv<strong>en</strong> de privacy<br />
recht<strong>en</strong> van de individuele consum<strong>en</strong>t respecter<strong>en</strong>. Hiermee is GDPR relevant voor alle<br />
organisaties die persoonlijke gegev<strong>en</strong>s van inwoners van de EU verzamel<strong>en</strong>, verwerk<strong>en</strong><br />
<strong>en</strong> gebruik<strong>en</strong>.<br />
2<br />
change+developm<strong>en</strong>t<br />
taking you forward
GDPR is ontworp<strong>en</strong> om persoonlijke informatie beter te bescherm<strong>en</strong> in e<strong>en</strong><br />
digitaliser<strong>en</strong>de wereld <strong>en</strong> betek<strong>en</strong>t verreweg de grootste verandering van de wet- <strong>en</strong><br />
regelgeving op het gebied van gegev<strong>en</strong>sbescherming van deze eeuw. Het omvat meer<br />
dan vijftig artikel<strong>en</strong> <strong>en</strong> heeft verstrekk<strong>en</strong>de gevolg<strong>en</strong> voor organisaties die persoonlijke<br />
gegev<strong>en</strong>s gebruik<strong>en</strong> <strong>en</strong> opslaan.<br />
Nieuwe eis<strong>en</strong> va<strong>nu</strong>it de GDPR<br />
Hieronder vindt u e<strong>en</strong> opsomming van e<strong>en</strong> aantal nieuwe eis<strong>en</strong>:<br />
• Verhoogde geografische reikwijdte: de wetgeving is van kracht op elke organisatie<br />
die zak<strong>en</strong> doet met Europese burgers, ongeacht hun vestigingslocatie. Dit geldt dus<br />
bijvoorbeeld ook voor Amerikaanse of Chinese organisaties.<br />
• Toestemming <strong>en</strong> verstrekking: elke organisatie wordt geacht de vraag om<br />
toestemming voor het gebruik van persoonlijke data in duidelijke <strong>en</strong> e<strong>en</strong>voudige<br />
taal te formuler<strong>en</strong> <strong>en</strong> in e<strong>en</strong> toegankelijke vorm te verstrekk<strong>en</strong> aan de burgers.<br />
Daarnaast moet het intrekk<strong>en</strong> van toestemming voor het gebruik van persoonlijke<br />
data ev<strong>en</strong> makkelijk mogelijk zijn als het gev<strong>en</strong> van toestemming.<br />
• Meldplicht datalekk<strong>en</strong>: er komt e<strong>en</strong> meldplicht voor datalekk<strong>en</strong>. E<strong>en</strong> organisatie<br />
moet melding mak<strong>en</strong> van het datalek bínn<strong>en</strong> 72 uur nadat het lek is ontdekt.<br />
Daarnaast moet de burger geïnformeerd word<strong>en</strong> over het datalek.<br />
• Inzage recht: iedere burger heeft het recht inzage te krijg<strong>en</strong> in hoe e<strong>en</strong> organisatie<br />
change+developm<strong>en</strong>t<br />
zijn of haar persoonsgegev<strong>en</strong>s verwerkt. E<strong>en</strong> organisatie heeft de plicht deze<br />
inzage kosteloos te verschaff<strong>en</strong>.<br />
taking you forward<br />
3<br />
Meldplicht<br />
datalekk<strong>en</strong>
Privacy<br />
by design<br />
• <strong>Data</strong>portabiliteit: burgers moet<strong>en</strong> de mogelijkheid hebb<strong>en</strong> persoonsgegev<strong>en</strong>s<br />
van de <strong>en</strong>e naar de andere di<strong>en</strong>stverl<strong>en</strong>er over te zett<strong>en</strong> zonder al te veel moeite.<br />
Daarnaast zoud<strong>en</strong> burgers ge<strong>en</strong> data meer hoev<strong>en</strong> te del<strong>en</strong> die niet relevant is.<br />
• Privacy by design: Privacy by Design wordt verplicht. Organisaties mog<strong>en</strong> alle<strong>en</strong><br />
data verzamel<strong>en</strong> <strong>en</strong> verwerk<strong>en</strong> als dat écht nodig is voor het verricht<strong>en</strong> van het<br />
doel (dataminimalisatie). Daarnaast wordt de toegang tot deze data beperkt<br />
tot medewerkers die voor het uitoef<strong>en</strong><strong>en</strong> van hun rol ook écht toegang tot deze<br />
persoonsgegev<strong>en</strong>s nodig hebb<strong>en</strong>.<br />
• <strong>Data</strong> <strong>Protection</strong> Officer (DPO): voor (grotere) organisaties die persoonlijke data<br />
verwerk<strong>en</strong> moet e<strong>en</strong> onafhankelijke DPO word<strong>en</strong> aangesteld die zowel k<strong>en</strong>nis<br />
heeft van privacywetgeving, informatiebeveiliging als risicomanagem<strong>en</strong>t.<br />
Het is duidelijk; GDPR leidt tot e<strong>en</strong> sterke groei van de compliance verplichting<strong>en</strong>. Het<br />
doorvoer<strong>en</strong> van GDPR vereist aanpassing <strong>en</strong> aanscherping van het bestaande beleid. Er<br />
wordt str<strong>en</strong>g gecontroleerd op de naleving van GDPR; blijf je als organisatie in gebreke<br />
dan kunn<strong>en</strong> de boetes oplop<strong>en</strong> tot 4% van de jaarlijkse wereldwijde (groeps)omzet tot<br />
maximaal 20 miljo<strong>en</strong> euro. Niets do<strong>en</strong> is dus ge<strong>en</strong> optie.<br />
GDPR, wat betek<strong>en</strong>t dit voor u?<br />
De impact van GDPR is groot, maar de GDPR biedt naast verplichting<strong>en</strong> ook duidelijke<br />
kans<strong>en</strong> <strong>en</strong> voordel<strong>en</strong>. Het belangrijkste voordeel zit in de standaardisatie; er geldt<br />
<strong>nu</strong> eindelijk één privacy standaard voor de gehele Europese Unie. Wanneer u GDPR<br />
compliant b<strong>en</strong>t in Nederland dan b<strong>en</strong>t u dat dus ook in alle andere Europese land<strong>en</strong>.<br />
4<br />
change+developm<strong>en</strong>t<br />
taking you forward
Dit is e<strong>en</strong> groot voordeel t<strong>en</strong> opzichte van de oude situatie waar binn<strong>en</strong> Europa<br />
operer<strong>en</strong>de organisaties moest<strong>en</strong> voldo<strong>en</strong> aan de 28 verschill<strong>en</strong>de Europese<br />
standaard<strong>en</strong>. Daarnaast komt er door deze Europese wetgeving één overkoepel<strong>en</strong>d<br />
orgaan. Organisaties hebb<strong>en</strong> daardoor slechts één aanspreekpunt, namelijk de <strong>Data</strong><br />
<strong>Protection</strong> Authority (DPA).<br />
28<br />
verschill<strong>en</strong>de<br />
Europese<br />
standaard<strong>en</strong><br />
GDPR compliance in zes stapp<strong>en</strong> 1<br />
Hoe wordt mijn organisatie ‘privacy proof’? Dat is e<strong>en</strong> belangrijke vraag die u als<br />
organisatie graag beantwoord ziet. Hieronder leest u de zes mogelijke stapp<strong>en</strong> die<br />
leid<strong>en</strong> tot het antwoord op deze vraag.<br />
change+developm<strong>en</strong>t<br />
taking you forward<br />
5
Allereerst heb je de oriëntatiefase waarbij de focus ligt op het creër<strong>en</strong> van<br />
bewustwording <strong>en</strong> draagvlak voor GDPR binn<strong>en</strong> uw organisatie. Daarna kunt u zich<br />
focuss<strong>en</strong> op wat u wilt bereik<strong>en</strong> als organisatie (ambitiefase). Het borg<strong>en</strong> van deze<br />
ambities in de organisatie gebeurt in de operationele fase. De volg<strong>en</strong>de stapp<strong>en</strong> help<strong>en</strong><br />
u bij het doorlop<strong>en</strong> van deze fases.<br />
Privacy proof<br />
in 6 stapp<strong>en</strong><br />
Stap 1 - Welke data zijn persoonlijke gegev<strong>en</strong>s?<br />
De eerste stap is het id<strong>en</strong>tificer<strong>en</strong> van persoonlijke gegev<strong>en</strong>s die uw organisatie<br />
verzamelt over ‘data subjects’. GDPR is slechts van toepassing op persoonlijke gegev<strong>en</strong>s<br />
die betrekking hebb<strong>en</strong> op id<strong>en</strong>tificeerbare natuurlijke person<strong>en</strong>, zog<strong>en</strong>aamde data<br />
subjects die nog in lev<strong>en</strong> zijn.<br />
6<br />
change+developm<strong>en</strong>t<br />
taking you forward
Persoonlijke herleidbare informatie (PHI) zijn alle gegev<strong>en</strong>s die direct of indirect terug<br />
te voer<strong>en</strong> zijn naar e<strong>en</strong> data subject. Persoonlijke gegev<strong>en</strong>s omvatt<strong>en</strong> onder andere<br />
NAW- gegev<strong>en</strong>s, burger service <strong>nu</strong>mmers, gebruikersnam<strong>en</strong> <strong>en</strong> wachtwoord<strong>en</strong>,<br />
financiële gegev<strong>en</strong>s maar ook informatie over godsdi<strong>en</strong>st, etniciteit, seksuele<br />
geaardheid etc. Dit strekt ver; het betreft namelijk ook IP-adress<strong>en</strong>, cookies <strong>en</strong> andere<br />
´device id<strong>en</strong>tifiers´ die gebruikte apparatuur herk<strong>en</strong>n<strong>en</strong>.<br />
Waar bevindt<br />
zich de<br />
informatie<br />
Stap 2 - Is GDPR van toepassing?<br />
De tweede stap is om te toets<strong>en</strong> of én welke regels van GDPR van toepassing zijn op uw<br />
organisatie. Het is belangrijk de relevantie te k<strong>en</strong>n<strong>en</strong> van de 50 GDPR artikel<strong>en</strong> voor úw<br />
organisatie.. Meer informatie hierover kunt u vind<strong>en</strong> op de website www.eugdpr.org.<br />
Stap 3 - Waar bevindt de PHI zich in de organisatie?<br />
Bepal<strong>en</strong> welke PHI zich waar bevindt, is e<strong>en</strong> belangrijke voorwaarde om überhaupt aan<br />
de verplichting<strong>en</strong> te kunn<strong>en</strong> voldo<strong>en</strong>. Dat vraagt inv<strong>en</strong>tarisatie <strong>en</strong> analyse van data op<br />
bedrijfssystem<strong>en</strong>, apparatuur van medewerkers, externe (´cloud´) servers <strong>en</strong> archiev<strong>en</strong>,<br />
<strong>en</strong> informatie in gebruik of bewaring bij leveranciers, onderaannemers <strong>en</strong> andere<br />
partners die privacygevoelige gegev<strong>en</strong>s nam<strong>en</strong>s de organisatie verwerk<strong>en</strong>.<br />
Stap 4 - Ontwikkel e<strong>en</strong> ´data locatie dashboard´ <strong>en</strong> classificeer alle informatie<br />
Na de analyse in stap 3 is het advies om e<strong>en</strong> ´data locatie dashboard´ te mak<strong>en</strong>, e<strong>en</strong><br />
informatieplattegrond die in één oogopslag e<strong>en</strong> totaaloverzicht biedt van wat de<br />
oorsprong is van de privacygevoelige informatie, waar die informatie zich bevindt <strong>en</strong><br />
hoe de informatiebronn<strong>en</strong> verbond<strong>en</strong> zijn met andere system<strong>en</strong> (data lineage). Dat<br />
geeft makkelijk én voortdur<strong>en</strong>d inzicht in de plaats, aard <strong>en</strong> waarde van alle informatie.<br />
Daarnaast kun je hier andere informatie aan link<strong>en</strong>, zoals bijvoorbeeld gegev<strong>en</strong>s<br />
omtr<strong>en</strong>t de beveiliging van de locaties <strong>en</strong> de toegankelijkheid van de data.<br />
change+developm<strong>en</strong>t<br />
taking you forward<br />
7
Beoordeel <strong>en</strong><br />
verbeter het<br />
bestaande<br />
infobeleid<br />
Stap 5 - Beoordeel <strong>en</strong> verbeter het bestaande informatiebeleid<br />
Nu het duidelijk is welke informatie zich waar bevindt, wat de aard <strong>en</strong> waarde ervan is<br />
<strong>en</strong> hoe die informatie wordt gedeeld, is het belangrijk te bepal<strong>en</strong> wat ermee gebeur<strong>en</strong><br />
mág <strong>en</strong> hoe ermee moet word<strong>en</strong> omgegaan. Wat zijn bijvoorbeeld de bewaartermijn<strong>en</strong>?<br />
GDPR vraagt om adequate beleidsregels t<strong>en</strong> aanzi<strong>en</strong> van die bewaartermijn<strong>en</strong>, in<br />
overe<strong>en</strong>stemming met de wet- <strong>en</strong> regelgeving <strong>en</strong> contractuele verplichting<strong>en</strong>. Het komt<br />
erop neer dat er nét g<strong>en</strong>oeg relevante informatie, maar niet meer dan strikt noodzakelijk<br />
wordt bewaard, gebruikt <strong>en</strong> gedeeld. En dat bewar<strong>en</strong> van die informatie moet dan niet<br />
te kort (fiscus, patiëntgegev<strong>en</strong>s), maar ook niet te lang (PHI). Gegev<strong>en</strong>svernietiging is e<strong>en</strong><br />
delicate kwestie, die ook uiterst vertrouwelijk <strong>en</strong> aantoonbaar juist moet gebeur<strong>en</strong>.<br />
Het informatiebeleid zal moet<strong>en</strong> word<strong>en</strong> aangepast op zowel organisatorisch,<br />
technologisch <strong>en</strong> fysiek vlak.<br />
8<br />
change+developm<strong>en</strong>t<br />
taking you forward
change+developm<strong>en</strong>t<br />
Blijf<br />
waakzaam <strong>en</strong><br />
onderneem<br />
actie<br />
Stap 6 - <strong>Data</strong> Governance: blijf waakzaam <strong>en</strong> onderneem de nodige actie<br />
T<strong>en</strong> slotte is het belangrijk dat de gehele organisatie <strong>en</strong> de partners zich bewust zijn<br />
van de verplichting<strong>en</strong> <strong>en</strong> afsprak<strong>en</strong> <strong>en</strong> dat er e<strong>en</strong>duidigheid bestaat over bijvoorbeeld<br />
de bewaartermijn<strong>en</strong> <strong>en</strong> het vernietigingsbeleid. Regelmatige beoordeling is nodig<br />
om gelijke pas te houd<strong>en</strong> met verander<strong>en</strong>de wet- <strong>en</strong> regelgeving, contractuele<br />
verplichting<strong>en</strong> <strong>en</strong> ev<strong>en</strong>tuele bedrijfsmatige verandering<strong>en</strong>.<br />
E<strong>en</strong> goede <strong>Data</strong> Governance-organisatie waarbij verantwoordelijkhed<strong>en</strong> <strong>en</strong><br />
eig<strong>en</strong>aarschap goed zijn vastgelegd <strong>en</strong> geborg<strong>en</strong> door de gehele organisatie, zal<br />
help<strong>en</strong> om meer ‘in control’ te zijn van GDPR. D<strong>en</strong>k hierbij aan data ownership <strong>en</strong> data<br />
stewerdship.<br />
Wil je meer wet<strong>en</strong> over GDPR of hoe je e<strong>en</strong> succesvolle <strong>Data</strong> Governance-structuur<br />
creëert? Neem dan contact op met Luc H<strong>en</strong>stra, managem<strong>en</strong>t professional bij ibc<br />
Change + Developm<strong>en</strong>t (T +31 6 142 462 09).<br />
1<br />
Bronvermelding: Artikel ‘Voor de informatiemanager is het aftell<strong>en</strong> <strong>nu</strong> begonn<strong>en</strong>’.<br />
https://www.computable.nl/artikel/opinie/security/5851788/1509029/gdpr-compliance-in-zes-stapp<strong>en</strong>.html<br />
taking you forward 9