Praktische tips om GDPR-ready te worden

Over vijf maanden treedt de GDPR in werking, nieuwe strenge privacywetgeving die grote invloed gaat hebben op het beleid rond het omgaan met persoonsgegevens door bedrijven. Organisaties moeten dus aan de bak om tijdig aan de regels te voldoen.. maar waar te beginnen? In dit artikel lees je praktische tips en trucs van vier GDPR-specialisten die tijdens een kennisevent van Previder over dit onderwerp spraken.

Martin Vliem – National Security Officer bij Microsoft

Tip: Ga niet in alle krochten van de wet lopen spitten en beperk je tot het lezen van Artikel 5

Dit bevat namelijk de belangrijkste principes van de wet, maar dan overzichtelijk opgesomd in zes punten. Hiermee ben je razendsnel op de hoogte van de belangrijkste aandachtsgebieden. En het overzicht kan ook goed gebruikt worden voor een awareness-programma. Vaak is dat de eerste stap in een compliance-traject.

Tip: Investeer allereerst in de beveiliging van je belangrijkste gegevens

De GDPR schrijft voor dat persoonsgegevens ‘met een passend beveiligingsniveau beschermd dienen te worden’. De wet laat het aan organisaties over om daar de juiste technische en organisatorische beveiligingsoplossingen voor in te zetten. Het is heel verleidelijk om je met alle denkbare oplossingen te willen beschermen tegen mogelijke datalekken, maar daarvoor is je datasecurity-budget waarschijnlijk niet afdoende. En bovendien beveilig je dan niets echt goed.

Nick Goossens – trainer en sales consultant bij HP

Tip: Neem de kwaliteit van je datasecurity kritisch onder de loep

De wereld van de informatiebeveiliging is in de loop der jaren behoorlijk veranderd, met name door de intrede van cloud en ‘het nieuwe werken’. Tegenwoordig werken mensen steeds meer thuis of op externe (openbare) locaties. Hierdoor zijn bedrijfssystemen vatbaar voor allerlei nieuwe bedreigingen die er voorheen nog niet waren en waar veel IT-managers ook nog geen effectieve maatregelen tegen genomen hebben.

Tip: Geef aandacht aan dreigingen

Apparaten zijn bijvoorbeeld vaak beveiligd met maar één wachtwoord en dat wachtwoord is vaak ook nog eens zwak. Ook kunnen mensen meekijken op je scherm en zo vertrouwelijke gegevens of zelfs wachtwoorden zien. Voor al dit soort dreigingen zijn technische oplossingen beschikbaar, zoals bijvoorbeeld multi-factor authenticatie. Het begint echter met erkennen dat deze dreigingen er zijn en aandacht behoeven. Welke dreigingen heeft de organisatie en welke oplossingen helpen om de dreiging in te dammen?

Gerard van de Water – Business Development Manager bij Netapp

Tip: Start nu

Bij veel bedrijven is er nog maar weinig urgentie om aan de eisen van de GDPR te voldoen, ondanks dat het nog maar vijf maanden duurt voordat hij van kracht is. Dat is zorgwekkend, want bedrijven moeten naast technische ook allerlei administratieve en organisatorische maatregelen nemen om aan de nieuwe wet te voldoen. Technologiebedrijven kunnen bedrijven op het gebied van de GDPR enkel helpen met tools die de technische uitdagingen van de GDPR tackelen. Technische oplossingen die helpen bij GDPR compliance zijn veelal gericht op datasecurity, maar minstens net zo belangrijk zijn oplossingen om controle op data te krijgen. Denk bijvoorbeeld aan dataportabiliteitsoplossingen en tools die inzicht geven in bedrijfsgegevens op mobiele apparaten.

Jeroen Renard –Security Officer Odin Groep

Tip: Maak een compliance-traject voor de GDPR

Een compliance-traject kan je het beste stapsgewijs aanpakken, bijvoorbeeld in vier stappen:

  1. Maak een risicoanalyse op de kwaliteit van de informatiehuishouding en de beveiliging van persoonsgegevens. Tijdens dit onderzoek breng je de verwerkingen van persoonsgegevens in kaart. In hoeverre worden privacy by design en default principes toegepast en is het nodig om een functionaris op het gebied van bescherming van persoonsgegevens aan te stellen.
  2. Maak een gestructureerd plan om alle verschillende elementen van de GDPR aan te pakken. Denk daarbij vooral aan zaken als het aanpassen van werkprocessen, opstellen van beleid, zorgen voor bewustwording en training van medewerkers en het opzetten van een governance-structuur voor de beveiliging van opgeslagen gegevens.
  3. Bekijk welke technische en organisatorische maatregelen nodig zijn om dataprivacy- en beveiliging te garanderen. Toegangsrechten van medewerkers moeten worden bepaald en worden bewaakt. Devices en databanken moeten worden beschermd met een passend beveiligingsniveau.
  4. Stel verwerkingsovereenkomsten op en meld datalekken. Verder moet een verwerkingsovereenkomsten worden opgesteld, en bovendien moet een eventueel datalek of een tekortkoming mogelijk gemeld worden als hier sprake van is. Dat laatste is relatief makkelijk en heeft minder impact dan het lijkt.
Tip: doe de datalekcheck bij hebikeendatalek.nl

Een leuk middel om medewerkers bewust te maken van hun kennis op het gebied van dataveiligheid en security is de website hebikeendatalek.nl. Mensen kunnen daar aan de hand van tien praktische vragen uitzoeken hoe het gesteld is met hun kennis op het gebied van datasecurity.

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden