Als organisatie werk je met data. Vaak gaat het om data waar vertrouwelijk en integer mee moet worden omgegaan. Vanuit de samenleving en overheden worden hier steeds strengere eisen aan gesteld. Tot mei 2016 voldeed de Nederlandse Wet bescherming persoonsgegevens (Wbp), maar door veranderingen in de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, zijn deze eisen behoorlijk aangescherpt. Elk bedrijf moet vanaf 25 mei 2018 voldoen aan de General Data Protection Regulation (GDPR), of je nou een multinational bent of een eenpitter.

Met nog iets meer dan een half jaar te gaan, dringt de tijd om hier maatregelen voor te treffen. Je moet straks kunnen aantonen dat jouw bedrijf persoonlijke gegevens veilig verwerkt. Veel organisaties hebben echter nog geen goed beeld bij de gevolgen van de GDPR voor hun bedrijf. Om vanaf mei 2018 te voldoen aan de GDPR-eisen, moet je de volgende vier processen allemaal doorlopen en gestalte geven.

1. Inventariseren
Zoek goed uit waar in jouw bedrijf met persoonlijke gegevens wordt gewerkt. In welke softwarepakketten, bestanden en papieren dossiers zitten de risico’s. Veel informatie dient vertrouwelijk behandeld te worden, denk maar eens aan de salarisadministratie. Veel bedrijven werken tegenwoordig in de Cloud. Dan moeten de alarmbellen gaan rinkelen, want dat betekent dat de leverancier van jouw Cloud-omgeving ook bij die gegevens kan. Dat vraagt om serieuze voorzorgsmaatregelen.

2. Bewerken
Nadat je de huidige stand van zaken in kaart hebt gebracht, zal blijken dat je al veel wist, maar lang niet alles. Met leveranciers zullen bewerkersovereenkomsten gesloten moeten worden voor zover dat nog niet is gebeurd. Als het dan aan die kant mis gaat, blijf je helaas aansprakelijk, maar kun je die partij vervolgens ook aansprakelijk stellen. Tevens kun je onderbouwen dat je ter goeder trouw handelde. Ook bekijk je of alle data even relevant is en op de goede plaats staat. Kans is groot dat je met minder data afkan en het op andere (betere) plekken opgeslagen kan worden.

3. Beveiligen
Vervolgens is het zaak om daadwerkelijk maatregelen te treffen. Richt in- en externe processen opnieuw in en maak hier afspraken over. Zo dien je bij een bedrijfsomvang van meer dan 50 FTE een Functionaris Gegevensbescherming aan te stellen. Neem daarnaast technische veiligheidsmaatregelen waar dat nodig is. Pas bijvoorbeeld encryptie toe als het om creditcardgegevens gaat.

4. Rapporteren
Op het moment dat je klaar bent met stap 3, ben je er nog niet. Dan begint het pas! Veiligheid is maar tijdelijk van aard. GDPR vraagt om een continu proces. Er komen nieuwe medewerkers in dienst en er zullen nieuwe data aan je bestanden worden toegevoegd. Je dient je processen daarom doorlopend tegen het licht te houden en je medewerkers te controleren of zij er goed mee om gaan. Alleen door jezelf op dit vlak te blijven verbeteren, is de veiligheid van je gegevens te waarborgen.

Gaat het mis?
Als je wordt gehackt of overvallen door een malware virus, dien je dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Daar worden de vervolgstappen en sancties bepaald. Als je je processen en veiligheid goed op orde hebt, zullen de consequenties dragelijk zijn. Maar als je je organisatie niet hebt ingericht volgens de GDPR-eisen, kunnen de boetes hoog oplopen. Dat wil je niet, al is het maar omdat alle bedrijven die beveiligingsfouten maken met naam en toenaam op de website van de Autoriteit Persoonsgegevens worden genoemd.

Wil je meer weten over GDPR en de wijze waarop jouw bedrijf kan voldoen aan de veiligheidseisen? Neem gerust contact met ons op. Wij kunnen je begeleiden in het proces en hebben tal van oplossingen.