Rationele aanpak van GDPR voorkomt paniek

25 mei 2018 nadert snel. Dat zorgt bij heel wat bedrijven voor paniek. Op die datum treedt de General Data Protection Regulation (GDPR) in werking. En wie niet in orde is, riskeert vanaf dan fikse boetes. Paniek is hier echter een slechte raadgever. Het is beter om het hoofd koel te houden en stap voor stap een plan van aanpak uit te werken.

GDPR heeft als doel om de rechten van een persoon te beschermen voor wat persoonsgebonden data betreft. Wat wil dit concreet zeggen? Een persoon heeft het recht om te weten welke persoonsgebonden data een bedrijf verzamelt. Maar ook met welk doel dit verzameld wordt. En voor welke periode een bedrijf die data behoudt. GDPR verplicht eigenlijk bedrijven zo om ethisch om te gaan met persoonsgebonden data.

Strategie

In het kader van GDPR is het belangrijk dat je een strategie uitwerkt voor het beheer en de beveiliging van persoonsgegevens. Hoe pak je dit aan? Toon aan dat je hebt nagedacht over het transparant omgaan met data. Sta stil bij het feit dat persoonlijke gegevens toebehoren aan personen en niet aan een bedrijf. Documenteer het verzamelen van de data, de doelstelling en het gebruik ervan. Zorg ervoor dat processen inzichtelijk zijn: wie heeft toegang tot de data en wie gebruikt ze waarvoor? Als je er als bedrijf in slaagt een en ander rationeel en stapsgewijs aan te pakken, is er geen reden tot paniek.

Dimensies en risico’s

GDPR heeft drie dimensies voor het beheer en de beveiliging van persoonsgebonden data: een juridische dimensie (contracten in orde brengen), een technische dimensie (de beveiliging van data in informatiesystemen) en een organisatorisch dimensie (het menselijke gedrag rond het beheer en de beveiliging van persoonsgebonden data).

Het is voor een bedrijf een ware uitdaging om deze drie dimensies in hun onderlinge samenhang te zien en daar een beleid voor te ontwikkelen. Concreet moet de onderneming ook de volgende afwegingen maken en de betrokken risico’s afdekken:

  • Welke persoonsgebonden data heeft een bedrijf?
  • Over hoeveel personen gaat het?
  • Zijn alle contracten in orde?
  • Is een audit van de databeveiliging noodzakelijk?
  • Is er voor elke dataverwerking een duidelijk doel en een rechtsgrond?
  • Moet de onderneming een functionaris voor gegevensbescherming (of DPO) aanstellen?
  • Zijn de medewerkers in staat om virussen en phishing e-mails te herkennen?
  • Weten de medewerkers dat het openen van bedrijfsapplicaties op een openbaar wifi-netwerk risicovol is?

Het belang van compliance

Je kan dus als bedrijf klanten kwijt geraken als je niet conform GDPR werkt. Stel dat een onderneming een adresbestand deelt met een drukkerij. Ze willen bijvoorbeeld drukwerk van persoonlijke uitnodigingen voor een evenement. Dan is de uitvoerder verantwoordelijk voor de veiligheid van de persoonsgebonden data. Het is echter aan de opdrachtgever om te controleren of het bedrijf conform GDPR werkt. Doet de drukkerij dat niet, dan is de opdrachtgever verplicht de samenwerking te stoppen. Kortom: de drukkerij heeft er alle belang bij de regels van GDPR na te leven.

GDPR geeft daarnaast een persoon ook de mogelijkheid om een tegen een bedrijf een zaak aan te spannen. Elke persoon kan namelijk de rechter verzoeken om een bedrijf te verbieden een bepaalde categorie van persoonsgebonden data te vergaren. Voor een onderneming betekent dat mogelijk dat ze (tijdelijk) bepaalde data niet mag gebruiken omdat ze niet conform GDPR werkt. Maar opnieuw, paniek draagt niets bij. Het komt er in de eerste plaats op aan een stappenplan op te stellen en daarin alle dimensies en risico’s mee te nemen.

Wil je meer weten over de rationele aanpak van GDPR? Nood aan ondersteuning van je GDPR-strategie? Ontdek ons aanbod!