4 tips om voorbereid te zijn op de GDPR wetgeving

4 tips om voorbereid te zijn op de GDPR wetgeving

4 tips om voorbereid te zijn op de GDPR wetgeving

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Wat betekent dit voor uw organisatie en hoe kunt u aan deze wetgeving voldoen? Wij geven u graag 4 tips mee.

Waarom deze nieuwe wetgeving?
De komst van de GDPR kan gezien worden als de grootste verandering in de regelgeving voor de gegevensbescherming ooit. Deze nieuwe wetgeving is van toepassing op organisaties die Europese persoonsgegevens verwerken. Dit kan dus ook bedrijven treffen die niet in Europa gevestigd zijn. Naar verwachting zal de GDPR de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 2018 gaan vervangen.

1. Hoe gaat uw organisatie om met persoonsgegevens? 
Het is belangrijk om in kaart te brengen op welke manier uw organisatie omgaat met persoonsgegevens. Wat is de oorsprong van deze informatie, waar wordt dit bewaard en vanuit waar is dit toegankelijk? In archiefkasten, lokaal op laptops of in de cloud? Voor veel organisaties is een compleet overzicht nog een raadsel. Pas wanneer dit volledig in kaart is gebracht kan worden beoordeeld of de juiste maatregelen zijn getroffen om aan de GDPR te voldoen. Organisaties moeten namelijk direct gevraagde documenten en gegevens kunnen overhandigen aan toezichthouders wanneer hierom wordt gevraagd. De volgende informatie moet dan worden doorgegeven:

  • Welke informatie er wordt opgeslagen of verwerkt;
  • Waar deze informatie wordt opgeslagen;
  • Van wie deze informatie is;
  • Hoe deze  informatie wordt beveiligd.

2. Security
Gezien de flinke toename van cybercriminaliteit, onder meer middels ransomware, is het van belang dat (gevoelige) gegevens zorgvuldig worden bewaard en worden beschermd. Belangrijk is om te inventariseren welke maatregelen op het gebied van security uw organisatie tot op heden heeft getroffen en eventueel te overwegen om deze te verscherpen. De hoogte van de boete wanneer niet aan de eisen van de GDPR wordt voldaan kunnen enorm zijn. Er zijn hierin twee categorieën te onderscheiden: een boete van ten hoogste 10 miljoen euro of 2% van de wereldwijde omzet en een boete van ten hoogste 20 miljoen euro of 4% van de wereldwijde omzet.

3. Hogere toestemmingseisen
Pas wanneer de data subject (de persoon van wie de gegevens zijn) expliciet toestemming heeft gegeven, mogen zijn gegevens worden verwerkt. Dit betekent dat een organisatie eerst duidelijk moet maken waar de persoonsgegevens voor worden gebruikt en hoe deze worden verwerkt. De toestemming moet altijd weer ingetrokken kunnen worden en het is taak voor organisaties dat zij aan kunnen tonen dat deze toestemming daadwerkelijk is gegeven door de data subject.

4. Zorg voor transparantie
Alle medewerkers die betrokken zijn in de verwerking van persoonsgegevens dienen op de hoogte te zijn van de GDPR en dienen dus te kunnen werken volgens de nieuwe procedures. Informatiestromen met externe partijen moeten inzichtelijk en beheersbaar te zijn. In het geval van een datalek of controle moet de gevraagde informatie namelijk direct beschikbaar zijn. Een datalek moet binnen 72 uur gemeld zijn. Dit betekent dat een organisatie een rapport moet opstellen waarmee zij de getroffen partijen op de hoogte stelt. Naast deze melding moet ook de Autoriteit Persoonsgegevens een rapport ontvangen. Een organisatie moet hiermee inzicht geven in de controle- en auditprocessen.

Kortom, er zijn een veel onderdelen waar uw organisatie mogelijk mee te maken krijgt. Zorg dat u vandaag nog begint met het treffen van voorbereidingen. Wilt u meer weten wat deze nieuwe ontwikkelingen voor u kunnen betekenen? Vraag vrijblijvend onderstaand meer informatie aan.

Informatie aanvragen