Vijf zaken om nog te regelen voor de ingang van de GDPR
16-05-2018 | door: Blogger

Vijf zaken om nog te regelen voor de ingang van de GDPR

Je hebt waarschijnlijk al veel gehoord over de General Data Protection Regulation (GDPR). Logisch, want het proces loopt al lange tijd. Het begon allemaal in 2012 toen de Europese Commissie een hervorming van de databeveiligingsregels uit 1995 voorstelde. Deze voorstellen veranderden in plannen, en nu komen deze plannen in een noodgang op ons af geraasd. Na alle gesprekken, commentaren, adviezen en debatten komt het proces op 25 mei tot een eind. En de boetes liggen al op de loer.

Effect van de GDPR

In de tussentijd is er geen gebrek geweest aan informatie over wat burgers en bedrijven kunnen verwachten van de nieuwe wet. En die enorme hoeveelheid literatuur is gerechtvaardigd als we kijken naar de omvang van het effect van de wet.

De GDPR heeft straks een grote impact op alle organisaties die persoonlijke gegevens van EU-burgers verwerken en opslaan. In de huidige, grenzeloze, digitale wereld betekent dat dat bedrijven buiten Europa ook met de nieuwe wet te maken krijgen. Sterker nog, elk bedrijf dat een Europese partner heeft, moet na 25 mei rekening houden met de GDPR. Zelfs na de Brexit (waarschijnlijk de enige meer besproken kwestie dan de GDPR). Het Verenigd Koninkrijk moet zich namelijk nog steeds aan dezelfde regels houden, ook al horen ze straks niet meer bij de EU.

Het is onverstandig om de regels te negeren, want de boetes zijn enorm en kunnen oplopen tot wel 4 procent van de jaarlijkse wereldwijde omzet of 20 miljoen euro (afhankelijk van welke van de twee hoger is). Met nog een paar weken te gaan, is het daarom erg verstandig om na te gaan of jouw bedrijf genoeg is voorbereid op de komst van de wet. Of je riskeert een hoge boete.

Met de achtergrond van de wet en de boetes in ons achterhoofd, zetten we hieronder vijf zaken op een rij waar je tijdens de laatste loodjes op moet letten.

1. Breng iedereen in het bedrijf op de hoogte

Als voorbereiding op de wet hebben enkele bedrijven databeschermingsmedewerkers aangenomen – of zijn daar nog mee bezig – die alle zaakjes op orde brengen.

Hoewel sommige organisaties er een beetje laat bij zijn, is dit slim om te doen. Het is handig om een specialist in huis te hebben. Tegelijkertijd kan hij of zij ook gelijk de GDPR-kar trekken en de hele organisatie op de hoogte houden van ontwikkelingen. En nog belangrijker: zo iemand kan aanbevelingen doen voor welke tools nodig zijn voor het back-uppen van data in het geval van een cyberaanval.

Maar zelfs organisaties die geen speciale medewerkers aannemen, moeten onthouden dat de GDPR het hele bedrijf aangaat. Dit betekent dat alle belangrijke betrokkenen en managers goed weten wat de nieuwe privacywet inhoudt en hoe de GDPR straks hun eigen processen beïnvloedt.

2. Laat een data-audit uitvoeren

Daarnaast moet elk bedrijf weten welke persoonlijke gegevens ze bezitten, waar en hoe ze deze opslaan en waar deze vandaan komen. Ook moet je aan de lokale handhavingsinstanties kunnen vertellen waarom je bepaalde gegevens bewaart en hoe je ze verzamelt.

Als jouw bedrijf deze vragen niet kan beantwoorden, is het tijd om snel op zoek te gaan naar de antwoorden. Na 25 mei moet je laten zien dat je alle gegevens legaal hebt verzameld en ze juist opslaat. De autoriteiten zullen niet zachtaardig zijn voor bedrijven die niet in staat zijn om hun data op de juiste manier te beveiligen en daardoor datalekken veroorzaken. De boetes zijn niet mals. Binnenkort zullen er genoeg voorbeelden zijn die dat bewijzen.

3. Weet welke privacyrechten burgers hebben

Een van de grootste veranderingen die de GDPR met zich meebrengt, is dat burgers meer rechten krijgen over hun gegevens. Google ontving bijvoorbeeld de laatste drie jaar 2,4 miljoen aanvragen tot verwijdering van zoekmachineresultaten. Dat cijfer zal heel snel stijgen als mensen hun recht ‘om vergeten te worden’ beter begrijpen en het opeisen.

Verder kunnen burgers na 25 mei toegang krijgen tot hun gegevens en deze opvragen bij bedrijven, in een bestandsformaat dat zij zelf kunnen lezen. Om geen kostbare tijd te verliezen, is het handig om de locatie van alle data te registreren. Op die manier kun je gegevens makkelijk vinden als ze worden opgevraagd. Kortom: een kleine verandering die veel problemen voorkomt.

4. Wees voorbereid op datalekken

Volgens de nieuwe wet moeten bedrijven datalekken binnen 72 uur na ontdekking melden. Dat is niet lang, vooral wanneer je weet dat de uren na een datalek een drukke tijd is met veel verschillende onderzoeken en pogingen om de schade te beperken.

Het is daarom belangrijk dat de plannen al in de kast liggen om een eventueel datalek op te sporen, te rapporteren en op te lossen. Aanvullende rapportagesoftware kan hierbij helpen. Dergelijke tools geven duidelijkheid over de bewaarplaatsen van de back-upbestanden en besparen tijd bij het rapporteren over compliance. En als gegevens niet meer beschikbaar zijn vanwege malware, kan recovery-software de data snel weer terughalen.

5. Blijf je plannen en systemen verbeteren

Een vastgesteld plan is verstandig, maar laat ook ruimte voor verbeteringen. Vooral op het gebied van beschikbaarheid, kwaliteit en de veiligheid van gegevens. Data wordt namelijk steeds waardevoller.

Het is onvermijdelijk dat het digitale landschap in de komende jaren weer verandert. Misschien zelfs meer dan in de afgelopen tien jaar. Daarom is het essentieel dat bedrijven mee kunnen bewegen met de technologie. Eén ding is in ieder geval zeker: de discussie rondom de GDPR is na 25 mei niet afgelopen, die is net pas begonnen.

Door: Ronald Ooms (foto), Vice president Veeam North East EMEA

Terug naar nieuws overzicht