GDPR – time for action

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR), de nieuwe Europese wet voor databescherming, in werking. De nieuwe wet verscherpt regels uit de huidige Wet Bescherming Persoonsgegevens, en voegt bovendien enkele nieuwe verplichtingen toe. De GDPR introduceert enkele kernbeginselen ten aanzien van de verwerking van persoonsgegevens:

  • persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
  • persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwekt;
  • gegevens moeten correct en actueel zijn;
  • als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd, en;
  • de persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

Organisaties moeten kunnen aantonen dat ze voldoen aan alle verplichtingen uit de GDPR. Denk hierbij aan de toestemming, gegeven informatie, rechten van betrokkenen, beveiliging van gegevens, minimalisatie van de verwerkingen en afspraken met bewerkers.

Indien organisaties veel te maken hebben met persoonsgegevens, zijn de vereisten waaraan IT-systemen dienen te voldoen om GDPR-compliant te kunnen zijn van cruciaal belang. Veelal komen verschillende soorten systemen voor; systemen van externe leveranciers (pakketten), maatwerksystemen (ontwikkeld in eigen huis) en generieke systemen (gebruikt organisatie breed, niet alleen binnen de eigen divisie).

De aanpak verschilt per soort systeem. Voor applicaties/systemen die volledig van een externe leverancier worden betrokken ligt de verantwoordelijk voor de aanpassing op GDPR compliancy ook bij die leverancier. De organisatie die deze systemen gebruikt is echter finaal verantwoordelijk.

De leverancier levert voorgenomen wijzigingen aan en de business analist bepaalt samen met stakeholders binnen de divisie of de voorgestelde wijzigingen voldoende zijn, daarnaast wordt bepaald of er impact is op de rest van de keten en hoe groot de impact hiervan is. Voor de maatwerksystemen worden requirements opgesteld en worden wijzigingen binnen de eigen IT afdelingen opgepakt en uitgevoerd. Voor de generieke systemen geldt dat de aanpassingen niet binnen het eigen domein worden uitgevoerd, de requirements worden wel opgesteld en doorgegeven aan de afdelingen waar de generieke systemen moeten worden aangepast.

Naast het opstellen van requirements en het bepalen van impact is ook de inrichting van de processen rondom GDPR cruciaal. Het inrichten van nieuwe processen (hoe komt een verzoek van een betrokkene binnen die zich beroept op een van de GDPR rechten binnen en hoe wordt deze afgehandeld en gedocumenteerd?) Alle relevante bestaande processen dienen te worden doorgelicht en indien nodig aangepast aan de vereisten van GDPR.

Privacy Impact Assessments (PIA) kunnen zeer behulpzaam zijn en dienen breed in de organisatie te worden uitgevoerd. Uit deze PIA’s komt naar voren welke persoonsgegevens met welk doel worden verwerkt en welke risico’s aanwezig zijn. Deze risico’s moeten worden gemitigeerd door het treffen van beheersmaatregelen.

In samenspraak worden netto risico’s bepaald. Uitgangspunt hierbij zijn dat risico’s zijn vastgesteld bij aanvang van het project, bij deze risico’s zijn maatregelen bepaald. Na realisatie van de maatregelen resteert het netto risico. Dit risico wordt vastgesteld ter acceptatie door het management.

Tot slot is het opstellen van beleid cruciaal waaraan de besluitvorming wordt gekoppeld rondom de implementatie van beheersmaatregelen. Voorbeelden zijn: “hoe willen we dat de processen met betrekking tot de GDPR rechten eruit zien” en “hoe willen we omgaan met het administreren van privacy gevoelige gegevens”. Input is nodig vanuit de volledige organisatie en raakt business, IT, legal, Risk en Compliance. Workshops en informatiesessies zijn zeer behulpzaam en cruciaal om de informatie boven water te krijgen.

De GDPR is een verordening, en niet alleen maar een EU-richtlijn. Voor organisaties die in meerdere EU-landen opereren is dit gunstig. Maar, sancties bij overtreding kunnen aanzienlijk zijn. Het is dus zaak GDPR-compliant te zijn. Dit is een gezamenlijke inspanning en niet slechts een opdracht voor Legal of IT. Een privacybeleid, dat als leidraad dient voor verdere GDPR-compliance initiatieven is daarbij van cruciaal belang.

André van Diermen

Consultant RGP

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s