Met zes stappen op weg naar GDPR compliancy

Over slechts 2 maanden gaat de General Data Protection Regulation (GDPR) van kracht. Hiermee vindt op 25 mei 2018 een van de grootste wetswijzigingen op het gebied van databescherming en privacy plaats. In Nederland beter bekend als de Algemene Verordening Gegevensbescherming (AVG). Deze wet zet bedrijven ertoe aan om ‘privacy by design’ in hun beveiligingsstrategie op te nemen, waarmee de persoonsgegevens van burgers beschermd worden. Ondernemingen moeten dankzij deze wet verantwoordelijker omgaan met de persoonsgegevens van hun klanten.

Databescherming wordt dankzij de GDPR een topprioriteit voor bedrijven. Maar hoe kunnen zij er nu voor zorgen dat zij aan de nieuwe wet voldoen? Hieronder een makkelijk te volgen zes stappenplan:

Stap 1 – Verkrijg inzicht in de wetgeving GDPR
De eerste stap op weg naar compliancy is meer informatie inwinnen over de bestaande wetgeving en duidelijk te krijgen wat de gevolgen voor bedrijven zijn die niet aan de eisen voldoen. De ‘data protection officer’ (DPO) is de aangewezen persoon om deze taak op te pakken. Het is dan ook cruciaal dat er een expert in deze functie wordt aangesteld, ongeacht de grootte van het bedrijf. Deze persoon heeft bij voorkeur een achtergrond in ICT en rechten. Voor de GDPR-compliancy is namelijk zowel begrip van de technische eisen van de IT-omgeving als het regelgevingskader nodig. Er is namelijk geen eenduidig traject naar GDPR-compliancy, aangezien iedere organisatie uniek is. Daarnaast is het belangrijk dat de DPO regelmatig een audit uitvoert om de overeenstemming met het juridische kader van de GDPR te toetsen. Hiermee kan hij zorgdragen voor een nauwkeurige naleving van de wet.  

Stap 2 – Leg een dataregister aan
Nadat in de vorige stap duidelijk is geworden in hoeverre de organisatie voldoet aan de eisen van de GDPR, moeten zij het compliancy-proces documenteren. Iedere lidstaat van de EU heeft een Data Protection Authority (DPA) die toezicht houdt op het naleven van de GDPR. De DPA controleert niet allen of organisaties de wet naleven, maar bepalen ook de hoogte van de boete wanneer deze wordt overtreden. Deze boete kan variëren van 2 tot 4 procent van de totale bedrijfsomzet, wanneer er geen bewijs is dat een bedrijf met het GDPR-compliancy proces is begonnen. De geldstraf wordt bepaald aan de hand van de mate van non-compliancy van de wet of tot de gelekte of verloren persoonsgegevens. Hierbij wordt ook gekeken naar de gevoeligheid van deze gegevens. Om de boete niet te riskeren, is het cruciaal dat een bedrijf een dataregister van het proces bijhoudt.

Stap 3 – Prioriteer met behulp van dataclassificatie
Bedrijven moeten prioriteit aanbrengen in de gegevens die ze dienen te beschermen volgens de wetgeving. Allereerst is het belangrijk om de persoonsgegevens van Europese burgers die de organisatie bezit in kaart te brengen. Deze gegevens bevatten informatie waaruit, direct of indirect, kan worden afgeleid om wie dit gaat. Belangrijk bij deze informatie is om te controleren waar de gegevens zijn opgeslagen, wie er toegang tot heeft en met wie het wordt gedeeld. Aan de hand van deze analyse kan er worden vastgesteld welke gegevens als eerste bescherming nodig hebben en dus de hoogste prioriteit krijgen.   

Voor hackers zijn persoonsgegevens de meest waardevolle data. Volgens de laatste Breach Level Index, is de kans dat deze gestolen worden dan ook het grootst. Het is daarom zaak dat persoonsgegevens de hoogste prioriteit krijgen. Hierbij moet wel rekening worden gehouden met de rechten van Europese burgers, zoals de overdraagbaarheid van de gegevens en de beperkingen voor de verwerking van deze informatie.   

Stap 4 – Topprioriteiten zijn het startpunt
In stap 4 is het belangrijk om de data goed te beveiligen. Start hierbij met de eerder vastgestelde prioriteiten en bepaal de juiste strategie. Bekijk hoe de persoonsgegevens precies beschermd moeten worden (bijvoorbeeld met tokenization, encryptie of zoals in de wet staat: ‘pseudominisatie’. Privacygevoelige informatie is hierbij de topprioriteit. Houd er rekening mee dat persoonsgegevens door de GDPR beschermd moeten worden vanaf de dag dat ze verzameld worden tot het moment dat ze niet langer nodig zijn. In dat geval moeten de gegevens op een correcte wijze vernietigd worden.

Ook binnen de organisatie moeten er organisatorische maatregelen worden genomen, zodat het bestand waarin de gegevens worden gebruikt goed beveiligd is. De structuur, richtlijnen en procedures moeten dan passend worden afgestemd op het gebruik van de gegevens.

Stap 5 – Overige risico’s evalueren en documenteren
Door de overige risico’s te analyseren en documenteren kan er inzichtelijk worden gemaakt op welke punten de organisatie nog meer kwetsbaar is. De aanpak hiervoor vind je terug in stap 2. De DPA kan met deze gegevens controleren hoe en wanneer de risico’s worden aangepakt. De documentatie van alle acties zijn noodzakelijk om aan te tonen dat compliancy en databescherming serieus genomen worden binnen de onderneming en dat hiernaar gehandeld wordt. 

Stap 6 – Het proces continueren
In deze laatste stap worden de resultaten die behaald zijn geëvalueerd. Hierbij kan een organisatie de nodige lessen trekken om het gehele proces te blijven verbeteren. Het voldoen aan de GDPR is namelijk een continu proces, aangezien de omgevingen en systemen constant onderworpen zijn aan verandering. Het proces moet vanaf stap 4 voortdurend herhaald worden en het is belangrijk om altijd te blijven kijken naar de prioriteiten.    

Met deze zes stappen kan iedere organisatie ver komen met de voorbereiding op de GDPR-wetgeving. Daarnaast kunnen bedrijven aantonen dat ze serieus met deze nieuwe regelgeving omgaan, wat misschien nog wel belangrijker is. De beveiliging moet altijd voorop staan bij nieuwe ideeën en applicaties, maar ook bij de business as usual. De sleutel tot succes is dan ook privacy by design.

Gemalto is brons partner van het GDPR Live congres

Door: Jan Smets, data security expert bij Gemalto en certified data protection officer