Op 25 mei 2018, wordt de GDPR van kracht; De General Data Protection Regulation. Dat is de eerste uitdaging met de GDPR. De regelgeving is namelijk al sinds 24 mei 2016 in werking. Toezichthouders zijn nog terughoudend met sancties maar delen wel waarschuwingen uit. Bent u er nog niet klaar voor? Dan zijn er nog ruim 3 weken over. Tijd om er serieus werk van te maken!

Het verzamelen, gebruiken, verwerken en omzetten van persoonsgegevens verandert. Daarnaast moet u weten:
• Waar is de data opgeslagen?
• Hoe verzamelen we data?
• Heeft u te maken met kortere termijnen bij een inzageverzoek?
• Mogelijk hogere boetes bij non-compliance
• Wat zijn de te nemen stappen?

Een standaard stappenplan is er niet. Per organisatie kan de situatie anders zijn. Iedere situatie vereist een specifieke manier van omgang met data.
Voor een gemeente of onderwijsinstelling is het noodzakelijk om met persoonsgegevens te werken. Voor bijvoorbeeld een evenementenbureau niet. Om een voorbeeld te noemen. Het door festivals vastleggen van persoonsgegevens om de zwarte markt moeilijker te maken, kan door GDPR zomaar weer verdwijnen.

Er zijn wel een aantal hoofdonderwerpen aan te geven voor elke organisatie

• Begrijp data, wat slaat de organisatie op en waarom?
• Bepaal eigenaarschap en verantwoordelijkheid
• Wat is de reden dat het bedrijf gegevens verwerkt en mag dat van de wet?
• Welke rechten hebben de personen waarvan de organisatie gegevens verwerkt?
• Zorg dat privacy de basis is van het ontwerp voor de processen en systemen
• Ga uit van een lek, wat dan?
• Communiceer over de informatie, zowel intern als extern, creëer awareness bij collega’s
• Werk samen met leveranciers van informatiesystemen
  Deze acht stappen geven structuur. Natuurlijk is het zo dat per stap er een heleboel meer informatie beschikbaar komt.

Een veel gehoorde vraag. Organisaties zijn op zoek naar een stempel “GDPR-compliant”. Helaas is dat niet zo eenvoudig. In de praktijk blijkt dat het begrijpen van de data al een hele kluif is. Welke data is er eigenlijk allemaal binnen een organisatie, wie heeft er allemaal toegang tot en wat kunnen we met die data doen? Door dit in kaart te brengen en verantwoordelijkheid toe te kennen aan die data zet een organisatie flinke stappen.

Wat is mijn advies als het gaat om de GDPR? Maak een begin! Ga ermee aan de slag. Doet een organisatie niets en ontstaat er een datalek? Dan wordt het een dure fout.
Het is beter om nu te starten om inzicht te krijgen in de beveiliging binnen uw organisatie. Ben er bewust van dat veel organisaties ook uw data opslaan en verwerken. Samen maken we al die data weer een stukje veiliger. In dit bericht staat een inventarisatielijst. Vul deze in en stuur dit naar zakelijk@digitotaal.nl of naar uw Digitotaal partner, zodat er samen inzicht kan worden gekregen in de beveiliging van data binnen uw organisatie.

Digitotaal inventarisatielijst