Bent u al GDPR compliant?

Volgend jaar gaat in heel Europa een nieuwe privacywetgeving van kracht. Met deze ‘General Data Protection Regulation’ (GDPR) dwingt de EU organisaties een goede bescherming van persoonsgegevens en privacy van individuen af. Dat betekent werk aan de winkel. Wat gaat er zoal veranderen en hoe bereidt u uw organisatie daarop voor?

De GDPR zorgt voor nieuwe verplichtingen op het gebied van compliancy. Een voorbeeld hiervan is het recht van bezwaar en het recht op gegevens-portabiliteit. Daarnaast verplicht GDPR bedrijven tot het melden van data-lekken binnen 72 uur. Een uitgebreide beschrijving van de verplichtingen is hier beschikbaar. De nieuwe regels gaan in op 25 mei 2018. Boetes voor het niet voldoen GDPR kunnen oplopen tot 4% van de jaarlijkse omzet.

Data Protection Impact Assessments

De regulering verplicht bedrijven tot het uitvoeren van Data Protection Impact Assessments (DPIA’s), als onderdeel van hun overall risk management-praktijk. Deze DPIA’s moeten worden uitgevoerd op de plekken in de organisatie waar grote risico’s kunnen ontstaan op het gebied van de rechten en vrijheid van individuen. De ‘controller’ is verantwoordelijk voor de uitvoering hiervan. De controller is ‘de natuurlijk of rechtspersoon die alleen of gezamenlijk met anderen het doel en middelen bepaalt voor het verwerken van persoonlijke data’.

Een DPIA beoordeelt in het bijzonder de oorsprong, aard en de impact van risico’s. De uitkomst hiervan is een leidraad voor het bepalen van de juiste maatregelen om aan te tonen dat het verwerken van persoonlijk data gebeurt in overeenstemming met de regulering. Komen risico’s in de operationele processen aan het licht die de controller niet met afdoende maatregelen kan mitigeren, dan moet er voorafgaand aan het verwerken van de data een consultatie met de supervisory-autoriteit plaatsvinden.

Bewaren van data

Neem als voorbeeld het evalueren van het risico dat het bewaren van data met zich meebrengt. Data langer bewaren dan toegestaan en het niet volgen van het dataminimaliserings-principe kan serieuze consequenties hebben voor individuen wanneer een datalek zich voordoet.

Organisaties kunnen risico’s identificeren met behulp van surveys, zoals bijvoorbeeld besproken in dit panel. De volgende grafiek laat een vereenvoudigd overzicht zien van de benodigde stappen voor het uitvoeren van DPIA’s.

Proces DPIA.jpg

De DPIA’s zijn maar een enkel aspect van de nieuwe regulering. Wilt u meer weten over dit onderwerp? Neem dan vrijblijvend contact met mij op via Erwin.Albers@sap.com.

Dit blog is geschreven in 2017, dit is al even geleden. Benieuwd naar de huidige trends en ontwikkelingen om het gebied van digitale transformatie? Lees verder op het blog.

{{cta(‘d749a633-c64b-4128-b853-d5cf73e672c1’)}}