De 3 belangrijkste zaken die je moet regelen om GDPR-compliant te worden

5 min lezen

De General Data Protection Regulation (GDPR) of AVG is een Europese wet die enerzijds de privacy van Europese inwoners beschermt en anderzijds bewustzijn creëert bij het verwerken van persoonsgegevens. Voor jou als CISO levert de wet in eerste instantie veel werk op. 

Het aantal administratieve handelingen dat uit de GDPR (en aanvullend de NTA 7516 voor gezondheidsinformatie) voortvloeit is groot, je organisatie geeft nog weerstand en je wil alles zo snel mogelijk in orde maken. Immers, al sinds 25 mei 2018 moet de bedrijfsvoering in overeenstemming zijn met de GDPR.

Dit artikel beschrijft de eerste 3 stappen die elke verstandige CISO of FG nu meteen zet. In onze checklist over GDPR-compliance beschrijven we deze stappen in meer detail en bespreken we ook de noodzakelijke vervolgstappen.

GDPR gaat over bewustwording

De wetgever wil dat organisaties nadenken over het verwerken (verzamelen, bewerken en opslaan) van persoonsgegevens. Het maakt hierbij geen verschil of het gaat om gegevens van klanten, leads of medewerkers. In alle gevallen gaat het om persoonsgegevens.

Binnen de GDPR hecht de wetgever dan ook veel waarde aan het beperken van de hoeveelheid persoonsgegevens en het in kaart brengen van risico’s. Ook het nemen van maatregelen om datalekken te voorkomen, het bewijzen van de werking van deze maatregelen en het beperken van schade vormen belangrijke thema’s. Onjuist handelen en het verzwijgen van incidenten kan leiden tot hoge boetes.

Als gevoelige persoonsgegevens op een plek terechtkomen waar deze niet horen, spreken we van een datalek. In de meeste gevallen zijn datalekken het gevolg van menselijke fouten die medewerkers zonder opzet maken. Denk bijvoorbeeld aan het per ongeluk versturen van een dossier naar een verkeerd e-mailadres of het delen van gevoelige informatie via een publieke dienst. Het ontbreken van een goed privacybeleid werkt deze datalekken in de hand, met alle gevolgen van dien.

“Het doel van de GDPR is het creëren van bewustwording over hoe op een veilige manier met persoonsgegevens om te gaan. Dit doel blijkt ook uit het feit dat de wetgever een hogere boete geeft voor het niet melden van een datalek, dan voor het datalek zelf.” - Erick van Veghel, CISO.


Hoe start je?

Begin met het samenstellen van het juiste team. Organisaties slaan tegenwoordig gegevens voornamelijk digitaal op. Verschillende systemen en applicaties delen deze gegevens onderling. Het team dat de organisatie in lijn gaat brengen met de GDPR-wetgeving moet daarom de juiste disciplines aan boord hebben. Idealiter bestaat het kernteam uit een jurist, een privacydeskundige en een ICT’er. Zij betrekken per afdeling de verantwoordelijke leidinggevenden en inhoudelijke specialisten.

1. Inzicht verwerven
Advocaat I Chu Chao van HVG Law adviseert om te starten met het in kaart brengen van de huidige datastromen. Omdat dit er zeer veel kunnen zijn, is het verstandig dat je begint bij de belangrijkste of meest gevoelige datastromen. Vragen die je hierbij moet stellen zijn:

  • Welke data verzamelen we op welke plaats?
  • Waar en hoe bewaren we deze data?
  • Wie ontvangt of heeft toegang tot deze data?

Op deze manier krijg je inzicht in de infrastructuur en systemen van je organisatie. 

2. Impact op de organisatie vaststellen
Zodra je alle datastromen in kaart hebt gebracht, ga je deze spiegelen aan de GDPR door middel van een Gap-analyse. Je kijkt dan naar de huidige situatie en vergelijkt die met de gewenste situatie. Hieruit volgt een reeks maatregelen die noodzakelijk is om de gaten op te vullen. In sommige gevallen zijn hiervoor al bestaande policies beschikbaar die je kunt updaten. In andere gevallen moet je nieuwe regels opstellen. Het is verstandig (maar niet altijd verplicht) om dit te doen op basis van een register.

Verwerkingsregister bijhouden
Werk je binnen een organisatie met 250 of meer medewerkers, dan dien je alle verwerkingen van persoonsgegevens te omschrijven in een intern register. Voor organisaties met minder medewerkers is er enkel een registratieplicht indien:

  • er risicovolle verwerkingen plaatsvinden, bijvoorbeeld automatische profilering voor targeted marketing of een geautomatiseerde afwijzing voor een zorgverzekering.
  • een organisatie gevoelige data verwerkt, denk bijvoorbeeld aan medische gegevens.
  • een organisatie zeer grote hoeveelheden data verwerkt.

Zet je het verwerkingenregister op volgens de richtlijnen, dan voldoe je meteen aan de registratieplicht binnen de GDPR. Het register is vormvrij en kun je bijvoorbeeld bijhouden in een spreadsheet of in een gespecialiseerd softwarepakket. De inhoud van het register is wel gebonden aan regels. Onze checklist over GDPR compliance geeft hierover meer informatie. Het mag duidelijk zijn dat de informatie in het register up-to-date en volledig moet zijn.

3. Beleid vormen en in stand houden
Het verwerkingsregister geeft je inzicht in de verwerkte persoonsgegevens en verplicht je om in ieder geval na te denken over welke persoonsgegevens je opslaat, het doel daarvan, de bewaartermijn en de beveiliging ervan. Dit vormt de basis voor het maken van (aanvullend) beleid. Volgens I Chu Chao, advocaat bij HVG Law, wil de wetgever op deze manier er voor zorgen dat we privacy echt serieus nemen en goed nadenken over welke data we waarom willen verzamelen en opslaan. Hierbij geldt het principe van ‘dataminimalisatie’, waarbij we enkel die data opslaan die we echt nodig hebben, met een minimale bewaartermijn. Dit staat haaks op de manier waarop veel organisaties nu werken, in de trant van ‘We slaan alles op en bewaren het zo lang mogelijk, je weet nooit waar het goed voor is’. Als gevolg van deze mindset zien veel bedrijven privacy als een last. Dit illustreert ook dat we misschien wat zijn ‘doorgeschoten’ met het verzamelen van persoonsgegevens. De GDPR corrigeert dit.

Op basis van het register stel je een transparante privacy policy op voor zowel klanten (extern) als voor je werknemers (intern). De policy stel je vervolgens ter beschikking aan alle betrokkenen. Deze policy heeft namelijk als doel de betrokkenen van tevoren te informeren over de door jou verzamelde persoonsgegevens en hen te wijzen op hun rechten. Het document bevat in ieder geval de volgende informatie:

  • De identiteit en contactgegevens van de verantwoordelijke voor de gegevens. In de meeste gevallen is dit jouw bedrijf. Als er een privacy officer is, dan moeten de contactgegevens van de privacy officer ook worden vermeld.
  • Doel van de verwerking van gegevens en de juridische grondslag hiervoor.
  • Ontvangers (derden) van de gegevens. Indien deze gevestigd zijn buiten de Europese Economische Ruimte (EER): welke aanvullende beschermingsmaatregelen zijn er genomen om te zorgen dat doorgifte buiten de EER is toegestaan?
  • De bewaartermijn van de persoonsgegevens.
  • Informatie over de rechten van de betrokkenen, waaronder
    • het recht op beperking, toegang, correctie en verwijdering van de gegevens.
    • het recht op dataportabiliteit, bijvoorbeeld data kunnen meenemen van de ene organisatie naar de andere.
    • de mogelijkheid tot intrekken van de verwerkingstoestemming, bijvoorbeeld middels de opt-out in een e-mail.
    • het kunnen indienen van een klacht bij de autoriteiten.
    • het bezwaar kunnen maken tegen de toepassing van profilering.

Verder bevat een interne privacy policy vaak richtlijnen voor de medewerkers over de omgang met en de beveiliging van (gevoelige) persoonsgegevens binnen de organisatie. Meestal wordt de interne privacy policy opgenomen in het werknemershandboek, wat onderdeel uitmaakt van het arbeidscontract. Daarnaast wordt de interne privacy policy ook vaak beschikbaar gesteld op een intranet of werknemersportaal, zodat hij gemakkelijk is te raadplegen voor medewerkers.

Om ervoor te zorgen dat alle medewerkers ook daadwerkelijk de regels uit de privacy policy naleven, is het noodzakelijk dat de privacyregels daadwerkelijk gaan ‘leven’ voor de medewerkers. Zij moeten onderdeel uitmaken van hun dagelijkse praktijk. Zo is een herhaalde (praktijkgerichte) training nodig voor álle medewerkers die met persoonsgegevens werken, niet alleen voor de managers. Als je je medewerkers bewust maakt van de mogelijke privacyrisico’s in hun praktijk, en dit combineert met de inzet van laagdrempelige, gebruiksvriendelijke tools waarmee je het risico op incidenten aanzienlijk vermindert, dan heb je al enkele grote stappen gezet richting een GDPR compliant organisatie.



Checklist GDPR Compliance

Deze blog geeft je een beeld van wat je te wachten staat. Nu is het de hoogste tijd om actie te ondernemen. In onze checklist staan precies die stappen beschreven die je moet nemen naar GDPR compliance. Het document gaat dieper in op zaken als het opstellen van een verwerkersovereenkomst, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, de te nemen beveiligingsmaatregelen en de meldplicht datalekken. 

Klik hier om de checklist GDPR te downloaden

Geschreven door
Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.

Gepubliceerd op oktober 25, 2017

Laatst gewijzigd op december 11, 2019