In een vorige blog keken we naar wat de GDPR / AVG inhoudt, op welke organisaties het van toepassing is en wat de belangrijkste onderdelen van de GDPR zijn. De theorie zeg maar. In deze blog kijken we naar de praktijk, want veel bedrijven en organisaties vinden het erg lastig om concreet aan de slag te gaan met de GDPR. Het lijkt op het eerste gezicht behoorlijk ingewikkeld en complex; waar moet je beginnen?
Voldoende kennis van de GDPR in huis?
De eerste vraag die u zich moet stellen is of uw organisatie voldoende kennis van de GDPR in huis heeft om aan de slag te gaan met het bepalen en invoeren van maatregelen om te voldoen aan de GDPR. Als u hieraan twijfelt, is het verstandig om als eerste te zorgen dat u de basiskennis op peil brengt. Hiervoor kunt u dagenlang zoeken op internet, maar u kunt ook kiezen voor onze “AVG e-learning”. Met de AVG e-learning zijn uw organisatie en medewerkers voorbereid op de nieuwe Europese wetgeving. Deze AVG e-learning bestaat uit twee lessen plus een kennis- en herhalingstoets en kost slechts € 49,95 per deelnemer.
Liever uitbesteden?
Wanneer de inhoudelijke kennis in uw organisatie ontbreekt of er is simpelweg niet genoeg tijd om er zelf mee aan de slag te gaan, kunt u ook overwegen om een deskundige in te huren. Hiervoor hebben we een samenwerking met de IT auditors van adviesorganisatie Hoek en Blok (vestigingen in Sliedrecht en Barendrecht) opgezet. Met de “AVG-doorkijk” wordt in twee of drie dagen (afhankelijk van de grootte en complexiteit van uw bedrijf) de situatie bij uw organisatie in kaart gebracht en ontvangt u een duidelijk overzicht van de acties die u zou moeten nemen om aan de AVG te gaan voldoen.
Ik wil meer info over de AVG-doorkijk
Zelf aan de slag!
Wanneer u voldoende kennis in huis hebt, is het prima te doen om zelf aan de slag te gaan.
Het volgende stappenplan (ontwikkeld door Microsoft) helpt u hierbij en maakt het makkelijker om die eerste stap, die altijd het moeilijkst is, gewoon te nemen.
Stappenplan
Stap 1. Ontdekken
Breng als eerste alle persoonsgegevens binnen uw organisatie in kaart. Dit kunt u bijvoorbeeld doen door in een Excel spreadsheet een lijst te maken van alle applicaties, systemen en bestanden waarin persoonsgegevens worden gebruikt. Het is niet erg als u niet zeker weet of de lijst volledig is; u kunt de lijst altijd aanvullen als er nieuwe gegevens bijkomen. Het is sowieso aan te raden om hier geen eenmalige actie van te maken maar regelmatig, bijvoorbeeld eens per kwartaal, na te gaan of de lijst nog klopt en volledig is. Wat u in deze stap ook moet doen, is bepalen of er voor de verwerking van de persoonsgegevens voldoende grondslag (denk aan een contract of wettelijke verplichting) aanwezig is en dat hier aantoonbare goedkeuring van de betrokkenen voor is. Ook dit legt u vast in de lijst met persoonsgegevens.
In beeld:
Alle data die u helpt om personen te
identificeren.
• Naam
• E-mailadres
• Social media tokens
• Fysieke, psychologische of genetische informatie
• Medische informatie
• Locatiegegevens
• Bankdetails
• IP adres
• Cookies
• Afkomst
Opslag:
Breng in kaart waar persoonlijke informatie wordt opgeslagen.
• E-mails
• Documenten
• Databases
• USB-sticks
• Metadata
• Log files
• Back-ups
Stap 2. Beheren
Heeft u eenmaal een overzicht van de persoonsgegevens die binnen uw organisatie aanwezig zijn, dan kunt u verder met stap 2; het beheren van persoonsgegevens. Het gaat hierbij om de manier waarop persoonsgegevens worden gebruikt en ontsloten; hier moet over nagedacht worden en passende maatregelen voor worden genomen. Dit betekent bijvoorbeeld dat u moet bepalen wie in uw organisatie allemaal toegang tot bepaalde persoonsgegevens mag of moet hebben, dat u dit vastlegt in beleid en dat u zorgt dat de gebruikte systemen correct worden ingericht. Hiervoor kunt u het Excelsheet uit stap 1 weer gebruiken en uitbreiden met kolommen waarin de genomen maatregelen worden vastgelegd.
Gegevensbeheer:
Beleidsmaatregelen, taken en verantwoordelijkheden voor de toegang, het beheer en het gebruik van persoonsgegevens.
• Status (‘at rest’, ‘in process’ of ‘in transit’)
• Opslaan
• Herstellen
• Archiveren
• Behouden
• Verwijderen
Gegevensclassificatie:
Implementeer een classificatieschema om persoonsgegevens sneller te kunnen identificeren en verwerken.
• Soorten
• Gevoeligheid
• Context / gebruik
• Eigendom
• Bewaarders
• Administrators
• Gebruikers
Stap 3. Beschermen
In stap 3 draait het om het nemen van gepaste veiligheidsmaatregelen en maatregelen om te zorgen dat u datalekken kunt traceren. Ook moet u bepalen wie wat doet als zich, ondanks de genomen maatregelen, toch een datalek voordoet. Praktisch betekent dit dat u een informatiebeveiligingsbeleid moet ontwikkelen en dit vertaalt naar concrete maatregelen voor de informatie en systemen die uw organisatie gebruikt voor het verwerken van persoonsgegevens.
Schrijf op welke veiligheidsmaatregelen u hebt genomen en hoe u controleert dat deze ook uitgevoerd en nageleefd worden. Wat u doet als zich een datalek voordoet, legt u vast in een procedure waarin staat welke acties door wie wanneer moeten worden genomen.
Voorkom datalekken:
Bescherm data.
• Fysieke datacenterbeveiliging
• Netwerkbeveiliging
• Opslagbeveiliging
• Computerbeveiliging
• Identiteitsmanagement
• Toegangsbeheer
• Encryptie
• Risico management
Detecteer en reageer op datalekken:
Monitor en detecteer aanvallen.
• Systeem monitoring
• Datalek identificatie
• Impactanalyse
• Response scenario’s
• Disaster recovery
• Informeren van autoriteiten en klanten
Stap 4. Rapporteren
In deze laatste stap bepaalt u uw beleid hoe u reageert op verzoeken over gegevens en zorgt u dat de gevraagde gegevens beschikbaar zijn. Het document dat u in stap 3 hebt opgesteld, kunt u met deze informatie uitbreiden.
Helder inzicht over records:
Zorg dat het record management op orde is.
• Helderheid waarom gegevens worden vastgelegd
• Goede classificatie van persoonsgegevens
• Bewerkingsovereenkomst met derde partijen
• Processen en beveiliging op orde
• Duidelijkheid over bewaartermijnen
Rapportage tools op orde:
Implementeer rapportagemogelijkheden.
• Registratie van cloud services
• Audit logs
• Notificatie bij datalekken
• Afhandelen van dataverzoeken
• Governance rapportages
• Compliance evaluaties
Hulpmiddelen
Om u te helpen bij het doorlopen van het stappenplan, zijn er verschillende hulpmiddelen beschikbaar.
Benchmark tool
Microsoft heeft een benchmark tool ontwikkeld (https://www.gdprbenchmark.com/questions) waarmee u door het beantwoorden van 26 vragen een beeld krijgt hoe uw organisatie op dit moment scoort op het voldoen aan de GDPR in vergelijking met bedrijven van een vergelijkbare omvang.
Aan het eind ziet u hoe u op ieder van de vier stappen (Ontdekken, Beheren, Beschermen en Rapporteren) scoort en welke maatregelen u zou kunnen nemen om uw score te verbeteren. Het invullen van deze benchmark is een mooi begin waarmee u in korte tijd een idee krijgt waar uw organisatie nu staat.
Compliance Manager
De Compliance Manager (https://servicetrust.microsoft.com/ComplianceManager), ook van Microsoft, is een uitgebreide applicatie waarmee u stap voor stap kunt werken aan het voldoen aan de GDPR (en eventueel ook aan andere normen). Op dit moment werkt de Compliance Manager alleen voor gebruikers van Office 365. Ondersteuning van Azure en Dynamics 365 volgt binnenkort.
Wanneer uw bedrijf Office 365 gebruikt, kan de Compliance Manager een krachtig hulpmiddel zijn bij het stap voor stap voldoen aan de GDPR. De Compliance Manager is wel erg uitgebreid en daardoor voor veel kleinere bedrijven wellicht te complex.
Voordeel van cloud diensten
Bedrijven die (deels) gebruik maken van cloud diensten hebben een voordeel ten opzichte van bedrijven die hun ICT grotendeels op hun eigen servers (“on-premise”) hebben draaien. Bij cloud diensten is de leverancier van de cloud dienst namelijk verantwoordelijk voor een deel van maatregelen die de GDPR vereist. In de onderstaande figuur is in blauw weergegeven wat tot de verantwoordelijkheid van de gebruiker (“tenant”) hoort en in grijs wat het verantwoordelijkheidsgebied van de leverancier van de cloud dienst is.
Office 365 is een voorbeeld van een SaaS (Software as a Service) dienst die door veel bedrijven wordt gebruikt. Bij gebruik van Office 365 hoeft u dus veel minder zelf te regelen dan als u zaken als e-mail en SharePoint op uw eigen IT-infrastructuur draait.
De meeste cloud diensten van Microsoft zijn nu al GDPR compliant. Microsoft garandeert dat al haar cloud diensten uiterlijk 25 mei 2018 volledig voldoen aan de eisen die de GDPR stelt. Voor klanten van deze cloud diensten betekent dit dat ze minder zelf hoeven te regelen.
