GDPR: ben jij al bezig met de voorbereiding?

Cybersecurity: jarenlang hoefde je je er niet echt mee bezig te houden. Cybercrime was vooral iets voor grote bedrijven en overheden. Wat valt er immers bij ons mkb’ers te halen? Inmiddels weten we wel beter!

Verder waren er weliswaar wetten en regels, maar die werden nauwelijks gehandhaafd. Vanaf mei 2018 komt hier echter verandering in. Met de invoering van de Algemene Verordening Gegevensbescherming (AVG), in het Engels bekend als General Data Protection Regulation (GDPR), moet je strenge technische én organisatorische maatregelen treffen om persoonsgegevens te beschermen. Verzuim je dit te doen, dan kun je boetes krijgen die oplopen tot in de miljoenen euro’s. En ja, deze regels gelden ook voor jou!

Handel tijdig: 6 praktische tips!

Deze nieuwe wet vergt natuurlijk de nodige voorbereiding. Maar als vCIO die vaak bij bedrijven komt, merk ik – zeker binnen het mkb – dat organisaties hier nog helemaal niet mee bezig zijn. Gezien de vele voorwaarden die de nieuwe wet stelt, is dat niet verstandig. Over enkele maanden moet je je beveiliging, systemen en processen immers op orde hebben.

In deze blog wil ik enkele voorbereidingstips met je delen die ik ook geef aan de bedrijven waarmee ik werk. Volg deze op en laat je niet verrassen!

1. Weet wat je opslaat en waarom je dat doet

Onderdeel van de AVG is dat je een dataregister moet opstellen. Hierin maak je inzichtelijk welke persoonsgegevens je bewaart, waar deze staan opgeslagen en wat het verwerkingsdoel is. Houd hierbij in gedachten dat niet opslaan de beste beveiligingsmethode is! Leg ook vast wie toegang heeft tot deze gegevens. Denk niet meteen te moeilijk; begin gewoon in Excel.

2. Investeer in technologie

De wet vereist dat je “passende technische maatregelen” neemt, rekening houdend met de stand van de techniek en de risico’s. Inventariseer je huidige stand van informatiebeveiliging en zorg dat je minimaal de volgende punten afgedekt hebt: een nieuwe generatie firewall, een goed antivirusprogramma, up-to-date software en apparatuur, gegevensversleuteling (encryptie) en een goede bedrijfscontinuïteitsoplossing. Daarnaast is het verplicht om een eventueel datalek te melden. Zorg dus dat je systemen en procedures hebt die het mogelijk maken om een datalek te detecteren.

3. Train je medewerkers

Binnen veel bedrijven spreek ik medewerkers die denken dat databescherming alléén een taak voor de IT-afdeling is. Dat is niet het geval! Zorg dus dat je personeelsleden hun verantwoordelijkheden op dit gebied kennen. Wijs hen op de gevaren en train je medewerkers om nepmails te herkennen en veilig te internetten. Stel ook een ICT-gebruiksreglement op voor je personeel, zodat onderlinge verwachtingen duidelijk zijn.

4. Beoordeel de toestemmingsprocedure voor gegevensverwerking

Hoe verkrijg je momenteel toestemming voor het verwerken van gegevens en waar sla je deze op? De procedure hiervoor moet even transparant zijn als je systemen. Denk bijvoorbeeld aan de verplichte ‘opt-in-regeling’ voor je nieuwsbrief, maar ook aan een ‘privacyreglement’ en de ‘toestemming voor de publicatie van beeldmateriaal’ voor je medewerkers.

5. Overweeg een cyberverzekering

Ik kom steeds meer verzekeringsmaatschappijen tegen die bedrijven de nodige bescherming bieden tegen de schade die cyberaanvallen kunnen veroorzaken. Als vCIO adviseer ik organisaties om dit met hun assurantietussenpersoon te bespreken. Met de komst van de GDPR is het geen overbodige luxe om inzicht te hebben in de financiële risico’s.

6. Data Protection Officer (DPO) wordt verplicht

Organisaties die persoonlijke gegevens van meer dan 5.000 personen per jaar verwerken, moeten, evenals alle overheidsorganisaties, een DPO aanstellen. Maar ook als je minder privacygevoelige informatie verwerkt is het slim om een expert in te huren of om iemand aan te wijzen die intern verantwoordelijk wordt voor privacy en beveiliging. Stel daarnaast een procedure op voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische beveiligingsmaatregelen.

Wil je meer weten over de AVG/GDPR of heb je hulp nodig bij het implementeren van bovenstaande punten, neem dan gerust contact met ons op. Wij helpen al onze klanten te voldoen aan deze wet- en regelgeving als onderdeel van onze standaarddienstverlening.