Met nog slechts iets meer dan één jaar te gaan, laat een enquête van DMA (research from the DMA) in het Verenigd Koninkrijk zien dat meer dan een kwart (26%) van de bedrijfsleiders van mening zijn dat hun bedrijf nog niet op de GDPR voorbereid is.
Wat kunnen bedrijven doen om zeker te zijn dat ze aan de GDPR voldoen? Hier volgen 10 eenvoudige tips.
1. Blijven plannen voor de GDPR
Het is belangrijk voor u als organisatie om de GDPR goed in te plannen en zodoende op tijd klaar te zijn. Zelfs het Verenigd Koninkrijk die zich voorbereid om de EU te verlaten dient zicht te houden aan de GDPR omdat organisaties data uit de EU zullen blijven verwerken.
In een blog van vorig jaar wist Steve Wood, verantwoordelijk internationale strategie en informatie bij de Information Commissioner’s Office (ICO), de bezorgdheid te matigen in zake Brexit, door te zeggen dat “eens in de EU geïmplementeerd, zal de GDPR ook van toepassing zijn in het VK”.
2. Medewerkers sensibiliseren
In een organisatie is het belangrijk dat alle besluitvormers op de hoogte zijn van de gevolgen van de GDPR en wat dit betekent voor hun dagelijkse activiteiten.
Volgens de Gigamon 2017 enquête in het Verenigd Koninkrijk UK Cyber Readiness Survey, is slechts 41% van de IT- medewerkers “volledig op de hoogte” van de gevolgen van de GDPR, terwijl 9% er helemaal niets van weet.
Deze cijfers laten zien dat er nog heel wat werk is om alle organisaties op het juiste niveau te krijgen.
3. Bepalen hoe een organisatie omgaat met data
Volgens de huidige EU Regelgeving voor Databescherming zijn enkel de controllers verantwoordelijk voor opvolgen van gegevens. Volgens ICO ( ICO explains) vallen deze statutaire verplichtingen nu ook op zij die de gegevens verwerken.
Daarom is het belangrijk te weten of een organisatie een gegevensverwerker of een gegevenscontroller is. Het kan ook beiden zijn.
Een audit van de huidige werkmethodes is een van de beste wijzen om zich op de GDPR voor te bereiden. Een klare kijk op de manier waarop een organisatie met gegevens omgaat, is van kapitaal belang.
4. Alle aspecten van de gegevensverwerking in een organisatie onderzoeken
Het is belangrijk te weten waar de persoonlijke gegevens bewaard worden, eer men aan de beveiliging van deze locatie gaat werken. Wie is verantwoordelijk voor deze gegevens (who is responsible for controlling that data) en worden ze gedeeld.
Het is uiterst belangrijk dat de IT-afdeling bij dit proces wordt betrokken en het geeft een beter inzicht in de huidige mogelijkheden van de organisatie.
5. Onderzoek naar eerdere inbreuken
Door eerdere inbreuken in het systeem te onderzoeken, krijgt men een duidelijker inzicht in de mogelijkheden waarmee een organisatie kan reageren op toekomstige aanvallen. Het geeft ook een beter beeld van de manier waarop deze werkwijze aan toekomstige vereisten kan aangepast worden.
Een van de belangrijkste maatregelen die met de GDPR van kracht worden, is het feit dat data inbreuken moeten gemeld worden binnen de 72 uur van hun vaststelling (will need to be reported within 72 hours) samen met informatie over de aard en de kracht van de aanval.
De hoge boetes die een organisatie moet betalen als het de verplichtingen niet nakomt, is voor bedrijven een belangrijke motivatie om de zaken op orde te stellen.
6. Een data protection officer (DPO) aanstellen
Volgens IAPP (According to the IAPP) zullen DPO’s onontbeerlijk zijn voor openbare diensten en andere organisaties die regelmatig op grote schaal persoonlijke data verwerken.
De DPO werkt op zelfstandige wijze en rapporteert aan het hoogste managementniveau binnen de organisatie.
Zijn belangrijkste verantwoordelijkheid bestaat uit een grondige kennis van de GDPR en de nodige vereisten om deze te implementeren en hiervoor toestemming te verkrijgen.
7. Op de hoogte zijn van de regels in verband met de rechten van het individu
Een van de belangrijkste elementen van de GDPR is de versterking van de rechten van het individu (strengthening of rights for individuals) met inbegrip van het recht om vergeten te worden en data portabiliteit. Dit betekent dat men kan gevraagd worden om data te bezorgen aan een individu en dat dit nadien naar de concurrentie kan overgemaakt worden.
Bedrijven zullen verplicht zijn om deze rechten te promoten. Bijgevolg is het belangrijk dat er procedures bestaan die dit mogelijk maken.
8. Geïnformeerd zijn in verband met toestemming
De GDPR is bedoeld om meer klaarheid te bieden (The GDPR aims to offer more clarity) als het op toestemming aankomt. Nieuwe maatregelen zullen bedrijven verplichten een expliciete verklaring of een duidelijk bevestiging ( “clear affirmative action”) te eisen in verband met het verwerken van gegevens.
Bedrijven zullen onderworpen zijn aan nieuwe maatregelen in verband met de beperkte toestemming van kinderen voor het verwerken van gegevens zonder ouderlijke toestemming.
Hiervoor is het nuttig na te gaan welke procedures reeds van kracht zijn als personen moeten ingelicht worden over de manier waarop hun gegevens gebruikt en verwerkt zullen worden.
9.Indentificatie van de hoofdtoezichthouder
Talloze organisaties die aan de GDPR zullen onderworpen zijn, zijn op internationale vlak actief en kunnen dus aan andere regels onderworpen zijn dan de GDPR.
Weten welke toezichthouder verantwoordelijk is als een klacht wordt onderzocht, kan moeilijk zijn. Volgens artikel 56 van de GDPR wordt de toezichthouder bepaald door de plaats waar de organisatie haar hoofdzetel in de EU heeft (the location of the organization’s main administration).
Dit is soms moeilijk uit te maken voor bedrijven die op meerdere plaatsen actief zijn. In geval van twijfel is het belangrijk uit te maken waar belangrijke beslissingen worden genomen in verband met verwerking van gegevens. Daar kan dus wel de hoofdtoezichthouder te vinden zijn.
10. Meer middelen toewijzen
Al deze overwegingen kunnen zorgen voor heel wat druk op de infrastructuur van een organisatie. Het is dus essentieel dat bedrijven middelen toewijzen waarmee aan al deze eisen kan worden beantwoord.
Een recent witboek van WLS (WLS whitepaper warns that without planning ahead) waarschuwt bedrijven ervoor dat “ten einde de nieuwe vereisten na te komen, ze in situaties zouden kunnen belanden waarvoor ze niet de aangepaste middelen hebben voorzien”.
Middelen toewijzen bij het begin van een nieuwe procedure is een goede manier om latere druk te vermijden.
Meer informatie over de GDPR is te vinden op de speciale pagina van ESET - dedicated page.
Over ESET
Sinds 1987, ESET® ontwikkelt bekroonde beveiligingssoftware die nu meer dan 100 miljoen gebruikers helpt om op een veilige manier van technologie te genieten. Zijn uitgebreide productengamma wordt op alle populaire platformen gebruikt en biedt zowel bedrijven als consumenten een perfect evenwicht tussen prestaties en proactieve bescherming. Het bedrijf beschikt over een globaal verkoopnetwerk, aanwezig in 180 landen, en regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Meer informatie is te vinden op www.eset.com of op LinkedIn, Facebook en Twitter.
PERSINFORMATIE
Voor het contacteren van een antivirus specialist van ESET of voor het testen van een product kunt u terecht bij:
Catherine d'Adesky / Louise Biron
Key Communications
+32 2 230 40 72
catherine@keycommunications.be
louise@keycommunications.beMaxime Mutelet
MGK Technologies
www.eset.lu