Nieuwe Europese privacywetgeving: 3 dingen waar alle organisaties rekening mee moeten houden

Nieuwe Europese privacywetgeving: 3 dingen waar alle organisaties rekening mee moeten houden

Vanaf mei 2018 treedt de nieuwe Europese privacywetging, de Algemene Verordening Gegevensbescherming (AVG), in werking. Deze AVG, internationaal General Data Protection Regulation (GDPR) genaamd, is op gebied van privacywetgeving de grootste verandering aan de Europese privacy-regulering in 20 jaar. 2018 lijkt ver weg, maar deze aankomende wetswijziging zou bij alle CIO’s, directeuren en ondernemers nu op de agenda moeten staan. De GDPR heeft namelijk ingrijpende gevolgen voor het informatiebeleid en -management van zowel grote als kleine organisaties. In dit artikel leest u welke stappen u als organisatie kunt ondernemen, voordat het te laat is.

Nieuwe wet: van DPD naar GDPR

De EU wil haar burgers de macht over hun eigen persoonlijke data teruggegeven. Daarvoor wordt de bejaarde wet Data Protection Directive 95/46/EC (DPD) vervangen door GDPR. Het doel hierbij is het vereenvoudigen en overeenstemmen van de verschillende privacywetgevingen in de EU-lidstaten. Doordat DPD niet echt een regulering was, maar meer een directief, is er een rommelig lapwerk ontstaan aan privacystandaarden. Een duidelijke lijn ontbrak en de handhaving was ook ver te zoeken.

Dat de GDPR geen tandeloze wet is zoals DPD, blijkt wel uit de enorme boetes die hangen aan het niet naleven van deze wet. Exacte bedragen kondigt de Autoriteit Persoonsgegevens later aan, maar er valt al rekening te houden met bedragen tussen de 250.000 en de 100 miljoen euro. De verwachting is ook dat er omzet gerelateerde boetes komen die twee tot vier procent van de omzet kunnen bedragen. Niet iets om over het hoofd te zien dus.

Voor wie

Belangrijk zijn de volgende twee termen in de wet, namelijk ‘data controllers’ en ‘data processors’. Data controllers zijn personen, bedrijven of instellingen die in het bezit zijn van persoonsgegevens. De wet gaat niet alleen over het bezit van persoonsgegevens, maar ook over de verwerking. Personen, bedrijven of instellingen die slechts ‘werken met de gegevens’, worden data processors genoemd. Ook zij moeten voldoen aan de eisen.

Terwijl het een EU-regulering betreft, kan iedere organisatie op de wereld te maken krijgen met GDPR. De regulering geldt namelijk voor iedere organisatie die werkt met persoonlijk data van iemand uit de Europese Unie. Is uw organisatie in de Verenigde Staten gevestigd, maar u heeft klanten die Nederlander zijn, dan valt u wel degelijk onder deze wetgeving.

De regulering wordt ‘pas’ van kracht op 25 mei, 2018, maar het is voor organisaties van wezenlijk belang nu proactief stappen te ondernemen. Organisaties die dat niet doen lopen kans om flink in de buidel te moeten tasten.

Aantonen en verslaglegging van naleving

Een belangrijk aspect van de GDPR-naleving is dat organisaties snel en eenvoudig moeten kunnen aantonen dat zij stappen hebben ondernomen om aan de GDPR-voorwaarden te voldoen. Organisaties moeten deze informatie en ondersteunende documentatie direct kunnen overhandigen aan toezichthouders wanneer daarom gevraagd wordt. Dit betekent dat organisaties inzicht moeten kunnen geven in:

  • Wat voor informatie zij opslaan (of verwerken);
  • Van (over) wie deze informatie is;
  • Waar zij dit opslaan;
  • Hoe dit beveiligd is.

De meeste organisaties zijn hier niet toe in staat. Sterker nog, veel organisaties weten niet eens welke informatie zij bezitten. En weten zij dat wel, dan is het vaak een raadsel waar dit staat opgeslagen. Op deze manier ontstaat vaak dark data. Dit is veelal het gevolg van het ontbreken van een centrale informatiestrategie, met bijbehorende tools en aangewezen verantwoordelijkheden.

Met M-Files voldoet u eenvoudig aan GDPR

Breng met M-Files uw informatiemanagement op orde. Bewaar, bewerk en beveilig eenvoudig uw documenten en informatie.

LIVE DEMONSTRATIE

Dit kunnen bedrijven al doen

Er zijn 3 speerpunten die organisaties helpen te voldoen aan de GDPR-eisen in mei 2018.

1. Bepaal het risico dat de organisatie loopt

Het allerbelangrijkste punt is het inschatten van het risico en de complexiteit.

Voordat organisaties een strategie bepalen om aan GDPR te voldoen, doen zij er verstandig aan eerst te onderzoeken hoe de huidige situatie er voor staat. Het is vooral belangrijk dat u alles weet over de data die u als organisatie bezit (of verwerkt). Probeer als organisatie antwoord te geven op de volgende vragen:

  • Hoe complex is de organisationele structuur?
    Denk aan verschillende entiteiten, operationele units, afdelingen, groepen met verschillende rollen met betrekking tot het verwerken van gegevens en data.
  • Hoeveel data en informatie verwerken de groepen, entiteiten of afdelingen? Om welke en wat voor data gaat het en waar wordt het voor gebruikt?
  • Hoe is de vereiste toestemming verkregen van het individu waar de data betrekking op heeft? En is deze verantwoording direct inzichtelijk voor externen?
  • Waar is alle data opgeslagen en is deze adequaat beveiligd?
  • Verwerken zowel de organisatie als verschillende groepen en afdelingen data in categorieën?
  • Hoeveel en welke externe partijen, zoals leveranciers en/of stakeholders, werken met data ten behoeve van uw organisatie?

Kortom, organisaties dienen data flows (informatiestromen) in kaart te brengen en te documenteren. Dit geldt voor ieder systeem waar mee gewerkt wordt,  binnen en buiten de organisatie. Hierdoor weet uw organisatie waar welke data is en waarom, wie er toegang tot hebben en hoe lang het bewaard blijft.

Een hack of lek

Het risico van een lek of een hack verschilt per bedrijfstak en de grootte van de organisatie. Het is vooral afhankelijk van hoe en waar een organisatie zijn data opslaat. De ene organisatie heeft zijn data in een eigen datacenter opgeslagen, of op een gedeelde netwerkschijf. Terwijl weer andere organisaties alles in een cloud-omgeving opslaan. Er zijn bedrijven die dit hele proces uitbesteden of juist een gedeelte van de omgang met data. Hierbij bestaat de kans dat bij dit specifieke opslagproces er verschillende externe partijen toegang hebben tot de data. Nog los van waar data is opgeslagen, is het noodzakelijk om inzichtelijk te maken wie er toegang tot die data heeft. Bij een datalek ligt deze verantwoording namelijk bij u als organisatie. Controle en inzicht zijn dus op zijn plaats.

Door een beoordeling te maken van de huidige data-opslag en verwerking, kunnen bedrijven een inschatting maken van de stappen die nodig zijn om aan de GDPR-naleving te kunnen voldoen.

2. Stel aanpak vast

Op het moment dat duidelijk is wat de impact van GDPR op uw organisatie kan zijn, is de volgende stap het vaststellen van een aanpak en het in kaart brengen van de daarmee gemoeide kosten en de benodigde resources van de organisatie.

Voor de overgrote meerderheid van bedrijven is GDPR een van de belangrijkste speerpunten in hun informatiestrategie. Nieuw beleid en procedures voor de bescherming en verwerking van gegevens moeten op zo’n manier worden geïmplementeerd dat deze voldoen aan GDPR. Daarbij dienen alle medewerkers die hier bij betrokken zijn in hun werk te worden getraind om te werken met dit nieuwe beleid en procedures. Alle informatie rondom de datastromen met externe partijen dient beheersbaar te zijn en vooral inzichtelijk. Op het moment van een datalek of een controle is dit inzicht verplicht, dus cruciaal in de informatiestrategie.

Het beste werkt een methodische aanpak waarbij prioriteit gegeven wordt aan data met een hoog risico. Door het risico van de verschillende databronnen te bepalen, heeft u snel helder welke systemen en datastromen als eerst aan de beurt zijn. Zo werkt u gefaseerd op basis van risicozwaarte. Dit kunt u bijvoorbeeld doen aan de hand van Privacy Impact Assessments (PIA) en risico assessments. Vanaf dat punt kunt u uw beleid en processen inrichten om het risico van alle individuele interne en externe dataverwerkers of systemen te minimaliseren. Een informatie- of documentmanagementoplossing kan hier van grote waarde zijn om controle op documenten en informatie toe te voegen en biedt op een eenvoudige manier inzicht in de datastromen.

Omdat organisaties een datalek binnen 72 uur moeten melden, is die snelle toegang tot informatie cruciaal. Op het moment van een datalek moet een organisatie een rapport opmaken waarmee het de getroffen individuen of partijen op de hoogte stelt. In dat rapport moet kenbaar gemaakt worden wat de impact van de schending is en welke stappen er worden ondernomen om de data van de betrokkenen veilig te stellen. Naast de directe melding van het datalek, zal een nog uitgebreider rapport opgemaakt moeten worden waarin de nationale autoriteiten, in Nederland de Autoriteit Persoonsgegevens (AP), inzicht wordt gegeven in de controle- en auditprocessen. Op basis daarvan bepaalt de Autoriteit Persoonsgegevens of en hoe hoog de financiële straf wordt. Als .w.organisatie kan aantonen stappen te hebben ondernomen om het risico te verkleinen, bijvoorbeeld door het gebruik van een informatie- of documentmanagementoplossing, is de kans op een boete kleiner. Wanneer uw organisatie geen stappen onderneemt, wordt u nalatigheid toegeschoven en kunt u uw borst nat maken en rekenen op een flinke boete.

3. Betrek uw stakeholders

GDPR beëindigt de speeltuin van het verwerken van persoonlijke data. Dit betekent dat organisaties meer van doen krijgen met procedures, beleid en controle. Alles met als doel dat er een nalevingsgerichte cultuur ontstaat. Afhankelijk van de grootte en het type, zullen organisaties op allerlei manieren beïnvloed worden door de effecten van GDPR. Voor sommige organisaties zijn de te verwachten implicaties klein, denk hierbij aan organisaties tot 250 werknemers. Voor andere organisaties zal het kunnen voldoen aan de naleving een complete organisationele en operationele cultuurverandering vereisen. Mensen verzetten zich vaak tegen verandering, maar organisaties zijn zich verplicht om hun mensen bij te scholen over de nieuwe wetgeving. Het gaat tenslotte over hun rol binnen dit proces van de organisatie.

De IT-afdeling implementeert mogelijkerwijs de best beschikbare tools, maar ondersteuning van de mensen is cruciaal. Een informatieverantwoordelijke dient samen met alle stakeholders te bepalen welk beleid en welke processen als eerste gecreëerd en geïmplementeerd dienen te worden. Risico-inschattingen en PIA’s dienen uitgevoerd, gedocumenteerd en beheerd te worden. Dit kan zeer tijdrovend zijn voor organisaties met veel systemen en dataverwerkingen, onderschat dit niet.

De medewerkers van een organisatie zijn niet de enige stakeholders. Andere organisaties die uw data verwerken zijn in deze aanpak, zoals eerdergenoemd, zeer belangrijk en dienen dan ook betrokken te worden. Om de aanpak zo soepel mogelijk te laten verlopen, is het slim om samen met die externe partijen controletools in te richten en beleid en processen te herzien.

Nog even kort samengevat wat u als organisatie kunt, zo niet moet doen:

  1. Breng risico in kaart
  2. Breng informatie, documenten en data in kaart
  3. Stel aanpak vast a.d.v. een informatie- en documentmanagementoplossing
  4. Betrek externe partijen
  5. Herzie de informatiestrategie (procedures, beleid, contracten)

Met deze aanbevelingen kunt u als organisatie voorkomen dat u torenhoge boetes op de mat krijgt. De beschreven aanbevelingen zijn echter niet binnen een paar weken uitgevoerd. Start op tijd, voordat het een race tegen de klok wordt.

 

Bastiaan Brefeld
Manager Business Development
bastiaan.brefeld@geone.nl

 

 

Met M-Files voldoet u eenvoudig aan GDPR

Breng met M-Files uw informatiemanagement op orde. Bewaar, bewerk en beveilig eenvoudig uw documenten en informatie.

LIVE DEMONSTRATIE
Lees ook

Terug naar alle artikelen.

Kennisdossiers

Vanaf mei 2018 treedt de nieuwe Europese privacywetging, de Algemene Verordening Gegevensbescherming (AVG), in werking. Deze AVG, internationaal General Data Protection Regulation (GDPR) genaamd, is op gebied van privacywetgeving de grootste verandering aan de Europese privacy-regulering in 20 jaar. 2018 lijkt ver weg, maar deze aankomende wetswijziging zou bij alle CIO’s, directeuren en ondernemers nu op de agenda moeten staan. De GDPR heeft namelijk ingrijpende gevolgen voor het informatiebeleid en -management van zowel grote als kleine organisaties. In dit artikel leest u welke stappen u als organisatie kunt ondernemen, voordat het te laat is.

Nieuwe wet: van DPD naar GDPR

De EU wil haar burgers de macht over hun eigen persoonlijke data teruggegeven. Daarvoor wordt de bejaarde wet Data Protection Directive 95/46/EC (DPD) vervangen door GDPR. Het doel hierbij is het vereenvoudigen en overeenstemmen van de verschillende privacywetgevingen in de EU-lidstaten. Doordat DPD niet echt een regulering was, maar meer een directief, is er een rommelig lapwerk ontstaan aan privacystandaarden. Een duidelijke lijn ontbrak en de handhaving was ook ver te zoeken.

Dat de GDPR geen tandeloze wet is zoals DPD, blijkt wel uit de enorme boetes die hangen aan het niet naleven van deze wet. Exacte bedragen kondigt de Autoriteit Persoonsgegevens later aan, maar er valt al rekening te houden met bedragen tussen de 250.000 en de 100 miljoen euro. De verwachting is ook dat er omzet gerelateerde boetes komen die twee tot vier procent van de omzet kunnen bedragen. Niet iets om over het hoofd te zien dus.

Voor wie

Belangrijk zijn de volgende twee termen in de wet, namelijk ‘data controllers’ en ‘data processors’. Data controllers zijn personen, bedrijven of instellingen die in het bezit zijn van persoonsgegevens. De wet gaat niet alleen over het bezit van persoonsgegevens, maar ook over de verwerking. Personen, bedrijven of instellingen die slechts ‘werken met de gegevens’, worden data processors genoemd. Ook zij moeten voldoen aan de eisen.

Terwijl het een EU-regulering betreft, kan iedere organisatie op de wereld te maken krijgen met GDPR. De regulering geldt namelijk voor iedere organisatie die werkt met persoonlijk data van iemand uit de Europese Unie. Is uw organisatie in de Verenigde Staten gevestigd, maar u heeft klanten die Nederlander zijn, dan valt u wel degelijk onder deze wetgeving.

De regulering wordt ‘pas’ van kracht op 25 mei, 2018, maar het is voor organisaties van wezenlijk belang nu proactief stappen te ondernemen. Organisaties die dat niet doen lopen kans om flink in de buidel te moeten tasten.

Aantonen en verslaglegging van naleving

Een belangrijk aspect van de GDPR-naleving is dat organisaties snel en eenvoudig moeten kunnen aantonen dat zij stappen hebben ondernomen om aan de GDPR-voorwaarden te voldoen. Organisaties moeten deze informatie en ondersteunende documentatie direct kunnen overhandigen aan toezichthouders wanneer daarom gevraagd wordt. Dit betekent dat organisaties inzicht moeten kunnen geven in:

  • Wat voor informatie zij opslaan (of verwerken);
  • Van (over) wie deze informatie is;
  • Waar zij dit opslaan;
  • Hoe dit beveiligd is.

De meeste organisaties zijn hier niet toe in staat. Sterker nog, veel organisaties weten niet eens welke informatie zij bezitten. En weten zij dat wel, dan is het vaak een raadsel waar dit staat opgeslagen. Op deze manier ontstaat vaak dark data. Dit is veelal het gevolg van het ontbreken van een centrale informatiestrategie, met bijbehorende tools en aangewezen verantwoordelijkheden.

Met M-Files voldoet u eenvoudig aan GDPR

Breng met M-Files uw informatiemanagement op orde. Bewaar, bewerk en beveilig eenvoudig uw documenten en informatie.

LIVE DEMONSTRATIE

Dit kunnen bedrijven al doen

Er zijn 3 speerpunten die organisaties helpen te voldoen aan de GDPR-eisen in mei 2018.

1. Bepaal het risico dat de organisatie loopt

Het allerbelangrijkste punt is het inschatten van het risico en de complexiteit.

Voordat organisaties een strategie bepalen om aan GDPR te voldoen, doen zij er verstandig aan eerst te onderzoeken hoe de huidige situatie er voor staat. Het is vooral belangrijk dat u alles weet over de data die u als organisatie bezit (of verwerkt). Probeer als organisatie antwoord te geven op de volgende vragen:

  • Hoe complex is de organisationele structuur?
    Denk aan verschillende entiteiten, operationele units, afdelingen, groepen met verschillende rollen met betrekking tot het verwerken van gegevens en data.
  • Hoeveel data en informatie verwerken de groepen, entiteiten of afdelingen? Om welke en wat voor data gaat het en waar wordt het voor gebruikt?
  • Hoe is de vereiste toestemming verkregen van het individu waar de data betrekking op heeft? En is deze verantwoording direct inzichtelijk voor externen?
  • Waar is alle data opgeslagen en is deze adequaat beveiligd?
  • Verwerken zowel de organisatie als verschillende groepen en afdelingen data in categorieën?
  • Hoeveel en welke externe partijen, zoals leveranciers en/of stakeholders, werken met data ten behoeve van uw organisatie?

Kortom, organisaties dienen data flows (informatiestromen) in kaart te brengen en te documenteren. Dit geldt voor ieder systeem waar mee gewerkt wordt,  binnen en buiten de organisatie. Hierdoor weet uw organisatie waar welke data is en waarom, wie er toegang tot hebben en hoe lang het bewaard blijft.

Een hack of lek

Het risico van een lek of een hack verschilt per bedrijfstak en de grootte van de organisatie. Het is vooral afhankelijk van hoe en waar een organisatie zijn data opslaat. De ene organisatie heeft zijn data in een eigen datacenter opgeslagen, of op een gedeelde netwerkschijf. Terwijl weer andere organisaties alles in een cloud-omgeving opslaan. Er zijn bedrijven die dit hele proces uitbesteden of juist een gedeelte van de omgang met data. Hierbij bestaat de kans dat bij dit specifieke opslagproces er verschillende externe partijen toegang hebben tot de data. Nog los van waar data is opgeslagen, is het noodzakelijk om inzichtelijk te maken wie er toegang tot die data heeft. Bij een datalek ligt deze verantwoording namelijk bij u als organisatie. Controle en inzicht zijn dus op zijn plaats.

Door een beoordeling te maken van de huidige data-opslag en verwerking, kunnen bedrijven een inschatting maken van de stappen die nodig zijn om aan de GDPR-naleving te kunnen voldoen.

2. Stel aanpak vast

Op het moment dat duidelijk is wat de impact van GDPR op uw organisatie kan zijn, is de volgende stap het vaststellen van een aanpak en het in kaart brengen van de daarmee gemoeide kosten en de benodigde resources van de organisatie.

Voor de overgrote meerderheid van bedrijven is GDPR een van de belangrijkste speerpunten in hun informatiestrategie. Nieuw beleid en procedures voor de bescherming en verwerking van gegevens moeten op zo’n manier worden geïmplementeerd dat deze voldoen aan GDPR. Daarbij dienen alle medewerkers die hier bij betrokken zijn in hun werk te worden getraind om te werken met dit nieuwe beleid en procedures. Alle informatie rondom de datastromen met externe partijen dient beheersbaar te zijn en vooral inzichtelijk. Op het moment van een datalek of een controle is dit inzicht verplicht, dus cruciaal in de informatiestrategie.

Het beste werkt een methodische aanpak waarbij prioriteit gegeven wordt aan data met een hoog risico. Door het risico van de verschillende databronnen te bepalen, heeft u snel helder welke systemen en datastromen als eerst aan de beurt zijn. Zo werkt u gefaseerd op basis van risicozwaarte. Dit kunt u bijvoorbeeld doen aan de hand van Privacy Impact Assessments (PIA) en risico assessments. Vanaf dat punt kunt u uw beleid en processen inrichten om het risico van alle individuele interne en externe dataverwerkers of systemen te minimaliseren. Een informatie- of documentmanagementoplossing kan hier van grote waarde zijn om controle op documenten en informatie toe te voegen en biedt op een eenvoudige manier inzicht in de datastromen.

Omdat organisaties een datalek binnen 72 uur moeten melden, is die snelle toegang tot informatie cruciaal. Op het moment van een datalek moet een organisatie een rapport opmaken waarmee het de getroffen individuen of partijen op de hoogte stelt. In dat rapport moet kenbaar gemaakt worden wat de impact van de schending is en welke stappen er worden ondernomen om de data van de betrokkenen veilig te stellen. Naast de directe melding van het datalek, zal een nog uitgebreider rapport opgemaakt moeten worden waarin de nationale autoriteiten, in Nederland de Autoriteit Persoonsgegevens (AP), inzicht wordt gegeven in de controle- en auditprocessen. Op basis daarvan bepaalt de Autoriteit Persoonsgegevens of en hoe hoog de financiële straf wordt. Als .w.organisatie kan aantonen stappen te hebben ondernomen om het risico te verkleinen, bijvoorbeeld door het gebruik van een informatie- of documentmanagementoplossing, is de kans op een boete kleiner. Wanneer uw organisatie geen stappen onderneemt, wordt u nalatigheid toegeschoven en kunt u uw borst nat maken en rekenen op een flinke boete.

3. Betrek uw stakeholders

GDPR beëindigt de speeltuin van het verwerken van persoonlijke data. Dit betekent dat organisaties meer van doen krijgen met procedures, beleid en controle. Alles met als doel dat er een nalevingsgerichte cultuur ontstaat. Afhankelijk van de grootte en het type, zullen organisaties op allerlei manieren beïnvloed worden door de effecten van GDPR. Voor sommige organisaties zijn de te verwachten implicaties klein, denk hierbij aan organisaties tot 250 werknemers. Voor andere organisaties zal het kunnen voldoen aan de naleving een complete organisationele en operationele cultuurverandering vereisen. Mensen verzetten zich vaak tegen verandering, maar organisaties zijn zich verplicht om hun mensen bij te scholen over de nieuwe wetgeving. Het gaat tenslotte over hun rol binnen dit proces van de organisatie.

De IT-afdeling implementeert mogelijkerwijs de best beschikbare tools, maar ondersteuning van de mensen is cruciaal. Een informatieverantwoordelijke dient samen met alle stakeholders te bepalen welk beleid en welke processen als eerste gecreëerd en geïmplementeerd dienen te worden. Risico-inschattingen en PIA’s dienen uitgevoerd, gedocumenteerd en beheerd te worden. Dit kan zeer tijdrovend zijn voor organisaties met veel systemen en dataverwerkingen, onderschat dit niet.

De medewerkers van een organisatie zijn niet de enige stakeholders. Andere organisaties die uw data verwerken zijn in deze aanpak, zoals eerdergenoemd, zeer belangrijk en dienen dan ook betrokken te worden. Om de aanpak zo soepel mogelijk te laten verlopen, is het slim om samen met die externe partijen controletools in te richten en beleid en processen te herzien.

Nog even kort samengevat wat u als organisatie kunt, zo niet moet doen:

  1. Breng risico in kaart
  2. Breng informatie, documenten en data in kaart
  3. Stel aanpak vast a.d.v. een informatie- en documentmanagementoplossing
  4. Betrek externe partijen
  5. Herzie de informatiestrategie (procedures, beleid, contracten)

Met deze aanbevelingen kunt u als organisatie voorkomen dat u torenhoge boetes op de mat krijgt. De beschreven aanbevelingen zijn echter niet binnen een paar weken uitgevoerd. Start op tijd, voordat het een race tegen de klok wordt.

 

Bastiaan Brefeld
Manager Business Development
bastiaan.brefeld@geone.nl

 

 

Met M-Files voldoet u eenvoudig aan GDPR

Breng met M-Files uw informatiemanagement op orde. Bewaar, bewerk en beveilig eenvoudig uw documenten en informatie.

LIVE DEMONSTRATIE
Kennisdossiers
Lees ook

Terug naar alle artikelen.

Terug naar boven