europe-3256079_1920
GDPR is een kans!

Een begrip als GDPR is voor ons als AlphaRainbow een hot topic. Vanaf begin januari hebben we binnen AlphaRainbow een Data Protection Team opgezet. Wij kregen de taak om voor 25 mei GDPR compliant te zijn. Naast het compliant worden willen we ook het ISO-27001 traject opstarten en een efficiëntieslag inzetten. Te ambitieus? Wij denken dat dit mogelijk is en die uitdaging gaan wij graag aan. Dit kan jij ook! Echt.

General Data Protection Regulation (GDPR)

De huidige wet uit 1995 (de Data Protection Directive) is opgesteld toen nog maar 1% van de EU-bevolking internet gebruikte. Het gemiddelde ligt nu op 75%. In Nederland is dit zelfs 94%. Huidige regelgeving gaat niet in op social media, tracking, cookies, profiling, etc. Anno 2018 is dit echter wel nodig. In april 2016 heeft het Europese Parlement ingestemd met de GDPR. In essentie geeft de GDPR-wetgeving burgers het recht om te bepalen of, wanneer, hoe en aan wie zijn of haar gegevens en informatie worden verstrekt en waartoe die gegevens mogen worden gebruikt. Aan organisaties om zich hierop aan te passen, verplicht, voor 25 mei 2018.

Voldoe je als bedrijf/instelling niet aan de GDPR op 25 mei dan riskeer je hoge boetes. Taak om dus GDPR compliant te worden. En oh ja, neem deze regelgeving serieus! Nog niet begonnen met GDPR compliance? Start dan nu het nog kan. Zie de checklist onderaan deze blog.

Bedrijven en persoonsgegevens

Er zijn vele bedrijven die persoonsgegevens bewaren. Denk aan een e-mailadres, voor- en achternaam, aankoopgedrag, kenteken, browsergegevens, voorkeuren en een IP-adres. De vraag is of deze gegevens ook goed beveiligd zijn opgeslagen. Wij werken zelf met persoonsgegevens middels onze CCT-tool. Hier gaat het voornamelijk om naam, e-mailadres en NAW gegevens. Wij zijn constant bezig met het zoeken naar de beste mogelijkheden (privacy by design/default) om zo min mogelijk persoonsgegevens te gebruiken en bewaren. Wij hebben zelf persoonsgegevens nodig om e-mail uitnodigingen te versturen en de resultaten te koppelen aan de ‘data subjects’ zodat onze klanten de resultaten kunnen terugkoppelen aan hun eigen klanten. Klinkt ingewikkeld, maar is het niet.

Betrokkenen, ook wel data subjects, jij en ik dus, krijgen met ingang van de GDPR een aantal nieuwe rechten. Zoals het recht op inzage, recht op rectificatie, recht van bezwaar, recht van correctie en nog een aantal rechten. Aan ons om hierop in te spelen.

Last of een kans?

Ja, de GDPR vraagt een hoop van jouw administratieve skills. Het zal zeker tijd, geld en energie kosten om GDPR compliant te worden en blijven. Maar wij zien het vooral als een kans. Het vraagt om innovatie. Wij moeten onze diensten vernieuwen; meteen een kans om de diensten te verbeteren en optimaliseren. Wij kijken daarbij serieus naar de gehele organisatie en zoeken actief naar optimalisatiepunten. Het belangrijkste is hierbij dat wij echt tijd, geld en energie steken in het GDPR compliance project.

Actie ondernemen

GDPR compliant worden is een uitdaging. Je moet zowel kennis in huis hebben van privacywetgeving, informatiebeveiliging als risicomanagement. Voor velen een grote uitdaging. Dit betekent dus dat je actie moet ondernemen. Realiseer je dat dit niet alleen een IT-issue is, maar dat het eigenlijk alle afdelingen raakt; van legal tot marketing. Er gaat een hoop veranderen dus zorg dat je voorbereid bent. Mijn aanbeveling zou zijn dat je jezelf goed inleest in dit onderwerp voordat je een externe partij inschakelt. Je kan echt al veel zelf doen. Doe dat dan ook voordat je een externe partij inschakelt. Scheelt een zak geld.

Checklist en tips

  • Maak belangrijke personen binnen jouw organisatie bekend met de GDPR;
  • Breng in kaart hoe persoonsgegevens worden verwerkt en beoordeel of je een verwerkingenregister moet aanleggen;
  • Check of jouw organisatie verplicht is om een functionaris gegevensbescherming aan te stellen;
  • Implementeer privacy by design en privacy by default;
  • Sluit verwerkersovereenkomsten af;
  • Stel procedures op en neem technische maatregelen om de rechten van betrokkenen uit te kunnen voeren;
  • Stel een Privacy Impact Assessment (PIA) vast en breng in kaart wanneer je deze moet uitvoeren;
  • Breng in kaart waar binnen jouw organisatie toestemming wordt gevraagd voor de verwerking van persoonsgegevens en controleer of dit voldoet aan de eisen van de AVG;
  • Stel een databeveiligingsbeleid op en blijf dit beleid toetsen en verbeteren;
  • Stel een protocol meldplicht datalekken op.
  • Lees de GDPR wetteksten desnoods zelf door. Weet wat je te doen staat.
  • Zelfs een clean desk policy zal bijdragen aan GDPR compliance en natuurlijk aan de nette uitstraling van jouw afdeling, win-win!

Ja het zijn een hoop zaken die je moet oppakken. Laat je niet afschrikken maar ga ervoor! Meer uitleg over deze punten? Kijk dan hier voor de checklist. Ook de website van de Autoriteit Persoonsgegevens geeft veel duidelijkheid. Succes!

Wil jij weten of je GDPR proof bent of vorderingen van jullie GDPR-voorbereidingen vergelijkbaar zijn met andere organisaties? Check dan de gratis test van DDMA.