06.02.2018 Views

General Data Protection Regulation; en nu?

In zes stappen naar een 'privacy-proof' organisatie!

In zes stappen naar een 'privacy-proof' organisatie!

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

<strong>G<strong>en</strong>eral</strong> <strong>Data</strong> <strong>Protection</strong> <strong>Regulation</strong>; <strong>en</strong> <strong>nu</strong>?<br />

In zes stapp<strong>en</strong> naar e<strong>en</strong> ’privacy-proof’ organisatie!<br />

change+developm<strong>en</strong>t<br />

taking you forward


<strong>G<strong>en</strong>eral</strong><br />

<strong>Data</strong> <strong>Protection</strong><br />

<strong>Regulation</strong>;<br />

<strong>en</strong> <strong>nu</strong>?<br />

In zes stapp<strong>en</strong> naar e<strong>en</strong> ’privacy-proof’ organisatie!<br />

• B<strong>en</strong>t u bek<strong>en</strong>d met de actuele privacy wetgeving in Nederland <strong>en</strong> Europa?<br />

• K<strong>en</strong>t u de impact van de privacy wetgeving op uw organisatie?<br />

• Is er e<strong>en</strong> privacy beleid binn<strong>en</strong> uw organisatie?<br />

• Zijn er gedragsregels rondom privacy voor uw medewerkers?<br />

• B<strong>en</strong>t u bek<strong>en</strong>d met de bewaartermijn<strong>en</strong> van persoonsgegev<strong>en</strong>s?<br />

• Informeert u de klant of medewerker met welk doel zijn of haar persoonsgegev<strong>en</strong>s<br />

word<strong>en</strong> verwerkt?<br />

• B<strong>en</strong>t u voorbereid op de gevolg<strong>en</strong> van e<strong>en</strong> mogelijk datalek?<br />

Heeft u één of meerdere vrag<strong>en</strong> met nee beantwoord dan is de kans groot dat uw<br />

organisatie handelt in strijd met de privacywetgeving. In het onderstaande artikel leest<br />

u hoe u uw organisatie in zes stapp<strong>en</strong> klaar kan stom<strong>en</strong> voor GDPR.<br />

GDPR, wat<br />

houdt het <strong>nu</strong><br />

eig<strong>en</strong>lijk in?<br />

Wat is GDPR?<br />

<strong>G<strong>en</strong>eral</strong> <strong>Data</strong> <strong>Protection</strong> <strong>Regulation</strong> (GDPR) oftewel Algem<strong>en</strong>e Verord<strong>en</strong>ing<br />

Gegev<strong>en</strong>sbescherming is de afgelop<strong>en</strong> tijd steeds meer in het nieuws, maar wat houdt<br />

het <strong>nu</strong> eig<strong>en</strong>lijk in? In ess<strong>en</strong>tie moet GDRP er voor zorg<strong>en</strong> dat bedrijv<strong>en</strong> de privacy<br />

recht<strong>en</strong> van de individuele consum<strong>en</strong>t respecter<strong>en</strong>. Hiermee is GDPR relevant voor alle<br />

organisaties die persoonlijke gegev<strong>en</strong>s van inwoners van de EU verzamel<strong>en</strong>, verwerk<strong>en</strong><br />

<strong>en</strong> gebruik<strong>en</strong>.<br />

2<br />

change+developm<strong>en</strong>t<br />

taking you forward


GDPR is ontworp<strong>en</strong> om persoonlijke informatie beter te bescherm<strong>en</strong> in e<strong>en</strong><br />

digitaliser<strong>en</strong>de wereld <strong>en</strong> betek<strong>en</strong>t verreweg de grootste verandering van de wet- <strong>en</strong><br />

regelgeving op het gebied van gegev<strong>en</strong>sbescherming van deze eeuw. Het omvat meer<br />

dan vijftig artikel<strong>en</strong> <strong>en</strong> heeft verstrekk<strong>en</strong>de gevolg<strong>en</strong> voor organisaties die persoonlijke<br />

gegev<strong>en</strong>s gebruik<strong>en</strong> <strong>en</strong> opslaan.<br />

Nieuwe eis<strong>en</strong> va<strong>nu</strong>it de GDPR<br />

Hieronder vindt u e<strong>en</strong> opsomming van e<strong>en</strong> aantal nieuwe eis<strong>en</strong>:<br />

• Verhoogde geografische reikwijdte: de wetgeving is van kracht op elke organisatie<br />

die zak<strong>en</strong> doet met Europese burgers, ongeacht hun vestigingslocatie. Dit geldt dus<br />

bijvoorbeeld ook voor Amerikaanse of Chinese organisaties.<br />

• Toestemming <strong>en</strong> verstrekking: elke organisatie wordt geacht de vraag om<br />

toestemming voor het gebruik van persoonlijke data in duidelijke <strong>en</strong> e<strong>en</strong>voudige<br />

taal te formuler<strong>en</strong> <strong>en</strong> in e<strong>en</strong> toegankelijke vorm te verstrekk<strong>en</strong> aan de burgers.<br />

Daarnaast moet het intrekk<strong>en</strong> van toestemming voor het gebruik van persoonlijke<br />

data ev<strong>en</strong> makkelijk mogelijk zijn als het gev<strong>en</strong> van toestemming.<br />

• Meldplicht datalekk<strong>en</strong>: er komt e<strong>en</strong> meldplicht voor datalekk<strong>en</strong>. E<strong>en</strong> organisatie<br />

moet melding mak<strong>en</strong> van het datalek bínn<strong>en</strong> 72 uur nadat het lek is ontdekt.<br />

Daarnaast moet de burger geïnformeerd word<strong>en</strong> over het datalek.<br />

• Inzage recht: iedere burger heeft het recht inzage te krijg<strong>en</strong> in hoe e<strong>en</strong> organisatie<br />

change+developm<strong>en</strong>t<br />

zijn of haar persoonsgegev<strong>en</strong>s verwerkt. E<strong>en</strong> organisatie heeft de plicht deze<br />

inzage kosteloos te verschaff<strong>en</strong>.<br />

taking you forward<br />

3<br />

Meldplicht<br />

datalekk<strong>en</strong>


Privacy<br />

by design<br />

• <strong>Data</strong>portabiliteit: burgers moet<strong>en</strong> de mogelijkheid hebb<strong>en</strong> persoonsgegev<strong>en</strong>s<br />

van de <strong>en</strong>e naar de andere di<strong>en</strong>stverl<strong>en</strong>er over te zett<strong>en</strong> zonder al te veel moeite.<br />

Daarnaast zoud<strong>en</strong> burgers ge<strong>en</strong> data meer hoev<strong>en</strong> te del<strong>en</strong> die niet relevant is.<br />

• Privacy by design: Privacy by Design wordt verplicht. Organisaties mog<strong>en</strong> alle<strong>en</strong><br />

data verzamel<strong>en</strong> <strong>en</strong> verwerk<strong>en</strong> als dat écht nodig is voor het verricht<strong>en</strong> van het<br />

doel (dataminimalisatie). Daarnaast wordt de toegang tot deze data beperkt<br />

tot medewerkers die voor het uitoef<strong>en</strong><strong>en</strong> van hun rol ook écht toegang tot deze<br />

persoonsgegev<strong>en</strong>s nodig hebb<strong>en</strong>.<br />

• <strong>Data</strong> <strong>Protection</strong> Officer (DPO): voor (grotere) organisaties die persoonlijke data<br />

verwerk<strong>en</strong> moet e<strong>en</strong> onafhankelijke DPO word<strong>en</strong> aangesteld die zowel k<strong>en</strong>nis<br />

heeft van privacywetgeving, informatiebeveiliging als risicomanagem<strong>en</strong>t.<br />

Het is duidelijk; GDPR leidt tot e<strong>en</strong> sterke groei van de compliance verplichting<strong>en</strong>. Het<br />

doorvoer<strong>en</strong> van GDPR vereist aanpassing <strong>en</strong> aanscherping van het bestaande beleid. Er<br />

wordt str<strong>en</strong>g gecontroleerd op de naleving van GDPR; blijf je als organisatie in gebreke<br />

dan kunn<strong>en</strong> de boetes oplop<strong>en</strong> tot 4% van de jaarlijkse wereldwijde (groeps)omzet tot<br />

maximaal 20 miljo<strong>en</strong> euro. Niets do<strong>en</strong> is dus ge<strong>en</strong> optie.<br />

GDPR, wat betek<strong>en</strong>t dit voor u?<br />

De impact van GDPR is groot, maar de GDPR biedt naast verplichting<strong>en</strong> ook duidelijke<br />

kans<strong>en</strong> <strong>en</strong> voordel<strong>en</strong>. Het belangrijkste voordeel zit in de standaardisatie; er geldt<br />

<strong>nu</strong> eindelijk één privacy standaard voor de gehele Europese Unie. Wanneer u GDPR<br />

compliant b<strong>en</strong>t in Nederland dan b<strong>en</strong>t u dat dus ook in alle andere Europese land<strong>en</strong>.<br />

4<br />

change+developm<strong>en</strong>t<br />

taking you forward


Dit is e<strong>en</strong> groot voordeel t<strong>en</strong> opzichte van de oude situatie waar binn<strong>en</strong> Europa<br />

operer<strong>en</strong>de organisaties moest<strong>en</strong> voldo<strong>en</strong> aan de 28 verschill<strong>en</strong>de Europese<br />

standaard<strong>en</strong>. Daarnaast komt er door deze Europese wetgeving één overkoepel<strong>en</strong>d<br />

orgaan. Organisaties hebb<strong>en</strong> daardoor slechts één aanspreekpunt, namelijk de <strong>Data</strong><br />

<strong>Protection</strong> Authority (DPA).<br />

28<br />

verschill<strong>en</strong>de<br />

Europese<br />

standaard<strong>en</strong><br />

GDPR compliance in zes stapp<strong>en</strong> 1<br />

Hoe wordt mijn organisatie ‘privacy proof’? Dat is e<strong>en</strong> belangrijke vraag die u als<br />

organisatie graag beantwoord ziet. Hieronder leest u de zes mogelijke stapp<strong>en</strong> die<br />

leid<strong>en</strong> tot het antwoord op deze vraag.<br />

change+developm<strong>en</strong>t<br />

taking you forward<br />

5


Allereerst heb je de oriëntatiefase waarbij de focus ligt op het creër<strong>en</strong> van<br />

bewustwording <strong>en</strong> draagvlak voor GDPR binn<strong>en</strong> uw organisatie. Daarna kunt u zich<br />

focuss<strong>en</strong> op wat u wilt bereik<strong>en</strong> als organisatie (ambitiefase). Het borg<strong>en</strong> van deze<br />

ambities in de organisatie gebeurt in de operationele fase. De volg<strong>en</strong>de stapp<strong>en</strong> help<strong>en</strong><br />

u bij het doorlop<strong>en</strong> van deze fases.<br />

Privacy proof<br />

in 6 stapp<strong>en</strong><br />

Stap 1 - Welke data zijn persoonlijke gegev<strong>en</strong>s?<br />

De eerste stap is het id<strong>en</strong>tificer<strong>en</strong> van persoonlijke gegev<strong>en</strong>s die uw organisatie<br />

verzamelt over ‘data subjects’. GDPR is slechts van toepassing op persoonlijke gegev<strong>en</strong>s<br />

die betrekking hebb<strong>en</strong> op id<strong>en</strong>tificeerbare natuurlijke person<strong>en</strong>, zog<strong>en</strong>aamde data<br />

subjects die nog in lev<strong>en</strong> zijn.<br />

6<br />

change+developm<strong>en</strong>t<br />

taking you forward


Persoonlijke herleidbare informatie (PHI) zijn alle gegev<strong>en</strong>s die direct of indirect terug<br />

te voer<strong>en</strong> zijn naar e<strong>en</strong> data subject. Persoonlijke gegev<strong>en</strong>s omvatt<strong>en</strong> onder andere<br />

NAW- gegev<strong>en</strong>s, burger service <strong>nu</strong>mmers, gebruikersnam<strong>en</strong> <strong>en</strong> wachtwoord<strong>en</strong>,<br />

financiële gegev<strong>en</strong>s maar ook informatie over godsdi<strong>en</strong>st, etniciteit, seksuele<br />

geaardheid etc. Dit strekt ver; het betreft namelijk ook IP-adress<strong>en</strong>, cookies <strong>en</strong> andere<br />

´device id<strong>en</strong>tifiers´ die gebruikte apparatuur herk<strong>en</strong>n<strong>en</strong>.<br />

Waar bevindt<br />

zich de<br />

informatie<br />

Stap 2 - Is GDPR van toepassing?<br />

De tweede stap is om te toets<strong>en</strong> of én welke regels van GDPR van toepassing zijn op uw<br />

organisatie. Het is belangrijk de relevantie te k<strong>en</strong>n<strong>en</strong> van de 50 GDPR artikel<strong>en</strong> voor úw<br />

organisatie.. Meer informatie hierover kunt u vind<strong>en</strong> op de website www.eugdpr.org.<br />

Stap 3 - Waar bevindt de PHI zich in de organisatie?<br />

Bepal<strong>en</strong> welke PHI zich waar bevindt, is e<strong>en</strong> belangrijke voorwaarde om überhaupt aan<br />

de verplichting<strong>en</strong> te kunn<strong>en</strong> voldo<strong>en</strong>. Dat vraagt inv<strong>en</strong>tarisatie <strong>en</strong> analyse van data op<br />

bedrijfssystem<strong>en</strong>, apparatuur van medewerkers, externe (´cloud´) servers <strong>en</strong> archiev<strong>en</strong>,<br />

<strong>en</strong> informatie in gebruik of bewaring bij leveranciers, onderaannemers <strong>en</strong> andere<br />

partners die privacygevoelige gegev<strong>en</strong>s nam<strong>en</strong>s de organisatie verwerk<strong>en</strong>.<br />

Stap 4 - Ontwikkel e<strong>en</strong> ´data locatie dashboard´ <strong>en</strong> classificeer alle informatie<br />

Na de analyse in stap 3 is het advies om e<strong>en</strong> ´data locatie dashboard´ te mak<strong>en</strong>, e<strong>en</strong><br />

informatieplattegrond die in één oogopslag e<strong>en</strong> totaaloverzicht biedt van wat de<br />

oorsprong is van de privacygevoelige informatie, waar die informatie zich bevindt <strong>en</strong><br />

hoe de informatiebronn<strong>en</strong> verbond<strong>en</strong> zijn met andere system<strong>en</strong> (data lineage). Dat<br />

geeft makkelijk én voortdur<strong>en</strong>d inzicht in de plaats, aard <strong>en</strong> waarde van alle informatie.<br />

Daarnaast kun je hier andere informatie aan link<strong>en</strong>, zoals bijvoorbeeld gegev<strong>en</strong>s<br />

omtr<strong>en</strong>t de beveiliging van de locaties <strong>en</strong> de toegankelijkheid van de data.<br />

change+developm<strong>en</strong>t<br />

taking you forward<br />

7


Beoordeel <strong>en</strong><br />

verbeter het<br />

bestaande<br />

infobeleid<br />

Stap 5 - Beoordeel <strong>en</strong> verbeter het bestaande informatiebeleid<br />

Nu het duidelijk is welke informatie zich waar bevindt, wat de aard <strong>en</strong> waarde ervan is<br />

<strong>en</strong> hoe die informatie wordt gedeeld, is het belangrijk te bepal<strong>en</strong> wat ermee gebeur<strong>en</strong><br />

mág <strong>en</strong> hoe ermee moet word<strong>en</strong> omgegaan. Wat zijn bijvoorbeeld de bewaartermijn<strong>en</strong>?<br />

GDPR vraagt om adequate beleidsregels t<strong>en</strong> aanzi<strong>en</strong> van die bewaartermijn<strong>en</strong>, in<br />

overe<strong>en</strong>stemming met de wet- <strong>en</strong> regelgeving <strong>en</strong> contractuele verplichting<strong>en</strong>. Het komt<br />

erop neer dat er nét g<strong>en</strong>oeg relevante informatie, maar niet meer dan strikt noodzakelijk<br />

wordt bewaard, gebruikt <strong>en</strong> gedeeld. En dat bewar<strong>en</strong> van die informatie moet dan niet<br />

te kort (fiscus, patiëntgegev<strong>en</strong>s), maar ook niet te lang (PHI). Gegev<strong>en</strong>svernietiging is e<strong>en</strong><br />

delicate kwestie, die ook uiterst vertrouwelijk <strong>en</strong> aantoonbaar juist moet gebeur<strong>en</strong>.<br />

Het informatiebeleid zal moet<strong>en</strong> word<strong>en</strong> aangepast op zowel organisatorisch,<br />

technologisch <strong>en</strong> fysiek vlak.<br />

8<br />

change+developm<strong>en</strong>t<br />

taking you forward


change+developm<strong>en</strong>t<br />

Blijf<br />

waakzaam <strong>en</strong><br />

onderneem<br />

actie<br />

Stap 6 - <strong>Data</strong> Governance: blijf waakzaam <strong>en</strong> onderneem de nodige actie<br />

T<strong>en</strong> slotte is het belangrijk dat de gehele organisatie <strong>en</strong> de partners zich bewust zijn<br />

van de verplichting<strong>en</strong> <strong>en</strong> afsprak<strong>en</strong> <strong>en</strong> dat er e<strong>en</strong>duidigheid bestaat over bijvoorbeeld<br />

de bewaartermijn<strong>en</strong> <strong>en</strong> het vernietigingsbeleid. Regelmatige beoordeling is nodig<br />

om gelijke pas te houd<strong>en</strong> met verander<strong>en</strong>de wet- <strong>en</strong> regelgeving, contractuele<br />

verplichting<strong>en</strong> <strong>en</strong> ev<strong>en</strong>tuele bedrijfsmatige verandering<strong>en</strong>.<br />

E<strong>en</strong> goede <strong>Data</strong> Governance-organisatie waarbij verantwoordelijkhed<strong>en</strong> <strong>en</strong><br />

eig<strong>en</strong>aarschap goed zijn vastgelegd <strong>en</strong> geborg<strong>en</strong> door de gehele organisatie, zal<br />

help<strong>en</strong> om meer ‘in control’ te zijn van GDPR. D<strong>en</strong>k hierbij aan data ownership <strong>en</strong> data<br />

stewerdship.<br />

Wil je meer wet<strong>en</strong> over GDPR of hoe je e<strong>en</strong> succesvolle <strong>Data</strong> Governance-structuur<br />

creëert? Neem dan contact op met Luc H<strong>en</strong>stra, managem<strong>en</strong>t professional bij ibc<br />

Change + Developm<strong>en</strong>t (T +31 6 142 462 09).<br />

1<br />

Bronvermelding: Artikel ‘Voor de informatiemanager is het aftell<strong>en</strong> <strong>nu</strong> begonn<strong>en</strong>’.<br />

https://www.computable.nl/artikel/opinie/security/5851788/1509029/gdpr-compliance-in-zes-stapp<strong>en</strong>.html<br />

taking you forward 9

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!