EU GDPR – Europese General Data Protection Regulation

 

Veel bedrijven voldoen niet aan de huidige Nederlandse wetgeving op het gebied van bescherming van persoonsgegeven. Laat staan dat deze bedrijven voorbereid of bewust zijn van de nog strengere EU GDPR die nu al van toepassing is en die per 25 mei 2018 gehandhaafd zal worden. De boetes (ook voor het niet melden) zijn enorm!

Meer achtergrond en details kunt u in dit artikel vinden:

Voldoet uw organisatie aan de GDPR?

Om een globaal beeld te geven van de te nemen acties rondom de voorbereiding en uitvoering van de EU GDPR hebben we een aantal belangrijke punten voor ZZP’ers en kleine bedrijven op een rijtje gezet.

Kortom er dient een hoop te gebeuren voor 25 mei 2018. ICT XS kan het traject met u doorlopen en u tevens voorzien van de juiste IT voorzieningen en IT beveiliging.

ICT EN DE EU GDPR:

 

Breng in kaart welke data er wordt verzameld.

Elk bedrijf is sinds de EU GDPR verplicht een actueel register (op papier) te hebben van alle persoonsgegevens.

  • Contactformulier van uw website. (Veilige website en hosting)
  • Boekhoud programma
  • E-mail (Veilige professionele e-mail oplossing)
  • Telefonie
  • Overige digitale communicatie (skype, facebook messenger, etc)
  • Handmatig opgeslagen databases in Excel of word op een centrale server en op lokale computers

Reduceer de hoeveelheid opgeslagen data.

Het is dus van belang zo min mogelijk persoonsgegevens op te slaan van natuurlijke personen. Probeer hierbij dus de absolute minimum aan data aan te houden dat werkbaar is.

Reduceer het aantal medewerkers met toegang.

De toegang tot de tot deze gegevens beperken, zorg dat alleen die medewerkers toegang hebben die ook daadwerkelijk toegang moeten hebben voor het uitoefenen van hun werkzaamheden.

Breng in kaart welke partijen toegang hebben tot uw bedrijfsdata

Als verantwoordelijke dient u ook te registreren welke leveranciers toegang hebben tot bedrijfsdata en daarmee ook toegang tot de door uw bedrijf verzamelde persoonsgegevens.

Met elke leverancier dient een bewerkersovereenkomst gesloten te worden waaruit blijkt hoe de bewerker (leverancier) met de data om moet gaan.

Ook dient vastgelegd te worden op welke manier deze data is beveiligd. Denk aan de beveiliging vanuit de leverancier, maar ook de beveiliging van de lokale computers die toegang hebben tot de systemen van de leverancier.

Beveilig de toegang

Het is van belang een betrouwbare leverancier te kiezen. Denk aan zaken als encryptie en technische beveiligingsmethoden, maar ook fysieke toegangsbeveiliging.

Maar gaat het niet alleen om de toegang tot de data, maar ook de toegang tot de apparatuur via welke toegang wordt gelegd. Dus dit omvat diverse lagen en manieren van beveiliging. Voor het overgrote deel bent u zelf geheel verantwoordelijk. Slechts een gedeelte is de verantwoordelijkheid van de leverancier.

Overige toegangspunten:

  • Netwerk
  • Computers
  • Smartphones
  • Vaste telefoon / telefooncentrale
  • USB sticks of andere data dragers

Maakt u gebruik van verwerkers?

Voor verwerkers van data dient een aparte overeenkomst te worden afgesloten. Enkele voorbeelden, u huurt een bedrijf in voor de boekhouding, loon administratie of arbodienst die toegang hebben tot uw data en daarop een verwerking uitvoeren. Zorg voor een verwerkersovereenkomst!

Plan van aanpak in geval van een datalek

Is er een plan van aanpak in het geval van een datalek? Wie is verantwoordelijk binnen de organisatie voor het maken van de melding aan de authoriteit? Wie analyseert welke data er precies is gelekt? En is er überhaupt wel een mogelijkheid tot het nagaan? Wie informeert de gedupeerden? Wie stelt verder onderzoek in? Etc.

Verwerking en hergebruik van IT apparatuur

IT afval als oude computers, defecte usb sticks, defecte telefoons of apparatuur die door een andere medewerker weer gebruikt worden dienen vrijgemaakt te worden van data voordat er iets mee gedaan wordt. Zorg voor een veilige vernietiging van uw opslagmedia en veilige verwijdering van data op apparatuur die hergebruikt wordt (zowel binnen als buiten de organisatie!). Documenteer dit ook in het verplichte register!

Voorlichting van uw personeel

Het is van groot belang dat na het maken van een plan en het beveiliging van de data alle personeel met IT toegang voorgelicht wordt over de EU GDPR. Het personeel is (na een goede beveiliging ingezet te hebben) namelijk de meest waarschijnlijke bron van de lek. Het personeel moet een contactpersoon hebben die de melding van een (mogelijk) lek intern kan melden zodat de organisatie aan haar wettelijke verplichtingen kan voldoen. Elk verdacht voorval dient beoordeeld te worden door een interne of externe medewerker met voldoende kennis van IT en wetgeving.

2017-07-13T06:57:05+00:00 maart 30th, 2017|