De General Data Protection Regulation is een Europese regel die van kracht wordt op 25 mei 2018. Hij bepaalt de voorwaarden die gelden wanneer u persoonsgeboden gegevens wil opslaan en gebruiken, en omschrijft ook duidelijk de verantwoordelijkheid van wie de data opslaat, maar ook van wie in opdracht van derden data verwerkt. Voor een KMO die zich in regel wilt stellen met de GDPR, zetten we een helder stappenplan uiteen.
Fase 1: Analyseer
In de analyse-fase gaat u na welke van de gegevens die u vroeger heeft opgeslagen beantwoorden aan de voorwaarden van de GDPR. Zijn het gegevens die u voortaan nog moogt verzamelen en heeft u, waar nodig, de juiste formele toestemming van de persoon in kwestie verkregen? De gegevens die niet beantwoorden aan de GDPR-normen moet u verwijderen van alle systemen en alle dragers.
Verder zult u in deze analyse-fase ook al uw huidige processen waarin u persoonsgegevens verzamelt en opslaat moeten toetsen aan de nieuwe regelgeving. Ook hier weer: moogt u deze gegevens registreren en heeft u de nodige formele toestemming op de juiste wijze gevraagd en verkregen? Heel wat processen zullen een aanpassen vereisen, net zoals een aantal van de contracten die u gebruikt.
Fase 2: Bescherm
In de bescherm-fase gaat u de nodige organisatorische én technische maatregelen nemen om de data te beveiligen. Met andere woorden dient u de manier waarop uw bedrijf en alle medewerkers met die data omgaan zorgvuldig te omschrijven en het nodige te doen om dit te communiceren en af te dwingen. Dat is het organisatorische luik.
U zult ook op ICT-vlak de nodige bescherming moeten voorzien. Elementen als encryptie en dataclassificatie, maar ook de omgang met mobiele devices en identiteit, zult u moeten (her)bekijken. Stel uzelf de vraag wie toegang tot gegevens vraagt en of die persoon wel de persoon is die hij beweert te zijn. Hier dient u ook aan elke persoon van wie u gegevens hebt inzage te geven, en bovendien een mogelijkheid tot aanpassing of zelfs schrapping van deze gegevens te voorzien.
Fase 3: Ontdek
De derde stap is de ontdekkingsfase. Hier implementeert u een systeem dat u in staat stelt om inbreuken en misbruik zo snel mogelijk te ontdekken. Hiervoor zal een monitoring-aanpak die quasi volledig automatisch functioneert, moeten worden uitgerold. Een x-aantal keren per jaar zal de monitoring opgevolgd moeten worden met een audit die meer in de diepte de stand van zaken en eventuele anomalieën zal onderzoeken.
Fase 4: Reageer
In de reactiefase tenslotte dient ieder bedrijf een scenario op te stellen indien er toch iets fout loopt. Als er met andere woorden toch gegevens zouden gelekt zijn of als er een inbraak wordt vastgesteld. Om voldoende snel -lees binnen 72 uur na ontdekking van het gegevenslek- te kunnen reageren, heeft u best een procedure opgesteld, zijn er de nodige teksten voorbereid en is er een adressenlijst beschikbaar van wie op de hoogte dient gebracht.
Indien u deze vier stappen toepast op een correcte wijze dan kan je op 25 mei 2018 met een gerust gemoed aan je dag beginnen.
Gouden raad
Tenslotte nog één goede raad: documenteer zorgvuldig wat u doet om uw bedrijf in regel te stellen met de GDPR. Op die manier bouwt u een dossier op en dat zal nuttig zijn wanneer u toch een gegevenslek zou hebben of zelfs wanneer iemand een klacht formuleert aangaande de manier waarop uw bedrijf met persoonsgegevens omgaat. Zonder dossier zal u zich immers maar moeilijk kunnen verdedigen.