Stappenplan voor Global Data Protection Regulation (GPDR)

02 februari 2016 Consultancy.nl

Sinds 2012 werkt de Europese Unie aan nieuwe wetgeving voor databeveiliging. Binnenkort wordt gestart met de uitrol van de zogeheten GPDR-richtlijn. Voor organisaties brengt de nieuwe wetgeving allerlei aangescherpte requirements met zich mee – deze hebben een impact op beleid, organisatie, processen en systemen. Een stappenplan biedt uitkomst bij het treffen van de juiste voorbereidingen.

Binnenkort wordt in Europa de Global Data Protection Regulation (GPDR), een wetgeving vergezeld van richtlijnen die een uniforme benadering van privacy in Europa moet faciliteren, van kracht. De wetgeving is van toepassing op alle lidstaten van de Europese Unie en heeft als doel om databescherming af te stemmen op nieuwe technologische ontwikkelingen, zoals big data, cloud, social media en mobiliteit. Onder de wetgeving vallen zowel persoonlijke data (bijvoorbeeld naam, e-mailadres, foto) als vertrouwelijke data (bijvoorbeeld medische bestanden of financiële gegevens). Met de uitrol van de GPDR wil de Europese Unie ervoor zorgen dat organisaties privacyregels scherper op hun netvlies hebben staan en dat hierdoor consumenten meer vertrouwen hebben in de manier waarop omgegaan wordt met hun informatie.

Voor organisaties – de GDPR is van toepassing op elke organisatie die persoonlijke data van EU-burgers verwerkt – kan de GPDR verstrekkende gevolgen hebben. Een bedrijf of instelling moet volgens de wetgeving “adequate maatregelen” treffen om de persoonlijke data die zij verwerken afdoende te beschermen. Inbreuken op deze data moeten worden gerapporteerd aan autoriteiten op het gebied van dataprotectie, onmiddellijk nadat deze worden vastgesteld. Is ons land is dit ingeregeld via de Meldplicht Datalekken, waarbij organisaties verplicht worden gesteld om in het geval van een datalek het voorval direct te melden aan het College Bescherming Persoonsgegevens (CBP). Recent onderzoek van Verdonck, Klooster & Associates toont aan dat veel organisaties nog niet klaar zijn voor deze nieuwe regelgeving.

Wanneer organisaties zich niet aan de GDPR-richtlijnen houden dan riskeren ze naast eventuele reputatieschade ook fikse financiële risico’s. Gemiddeld genomen kan een gebrekkige naleving van de GDPR-richtlijnen leiden tot een boete die kan oplopen tot 5% van de jaarlijkse omzet die het bedrijf wereldwijd realiseert.

GPDR stappenplan
Tegen deze achtergrond is het voor organisaties van groot belang om zich tijdig en adequaat voor te bereiden op GDPR-richtlijnen. Om bedrijven hierbij te helpen heeft Atos Consulting, de consultancypraktijk van Atos, een stappenplan ontwikkeld:

  1. Inzicht in Data Governance – voorafgaand aan een compliance-project is het van belang om kwalitatieve data beschikbaar te hebben om de bron hiervan te kunnen achterhalen en te begrijpen op welk systeem of toepassing zij bewaard worden en of de informatie accuraat en volledig is. Als sprake is van betrokkenheid van andere partijen moeten afspraken over opslag, gebruik en eigendom van data worden vastgelegd in contracten.
  1. Gap-analyse – organisaties beschikken meestal al over controlemechanismes op het gebied van privacy. Als nieuwe wetgeving van kracht wordt, zoals GDPR, is het belangrijk om vast te stellen welke controls afdoende zijn om te voldoen aan de richtlijnen en welke controls uitgebreid of goedgekeurd moeten worden. 

  1. Ontwerp en implementatie van controls - zodra er inzicht is in de zwakke plekken in het proces van verslaglegging – bijvoorbeeld in HR- of financiële processen – moeten nieuwe controls ontworpen en geïntroduceerd worden om deze ongedaan te maken.
  1. Installatie van gecodeerde programma’s – dit biedt waarborgen voor een veilige opslag of uitwisseling van gegevens, of het nu gaat om klanten, leveranciers of medewerkers. Er is nog steeds sprake van een mogelijk privacy-risico, namelijk als een individu deze data gebruikt voor een doel waarvoor geen toestemming is gegeven.
  1. Controle van compliance en vindbaarheid van informatie – het is belangrijk alle data beschikbaar te hebben voor alle vragen die tijdens een audit gesteld kunnen worden. Het is de moeite waard aan een onafhankelijke partij te vragen een kwaliteitscontrole te verrichten, voordat de audit plaatsvindt. Deze kan advies geven over voorbereidende acties. Atos ondersteunt internationale bedrijven bij de voorbereiding op audits, zodat zij kunnen aantonen dat zij aan alle richtlijnen voldoen, met behulp van accurate en volledige informatie.

“Gezien het grote belang van dataprotectie is het cruciaal dat niet alleen IT-processen in overweging worden genomen, maar ook de integratie hiervan met bedrijfsprocessen en de informatievoorziening eromheen. Een gebrekkige cyber-security is onmiskenbaar een reële bedreiging van de privacy van consumenten,” zegt Abbas Shahim, partner van Atos Consulting en verantwoordelijk voor Governance Risk & Compliance.

Huis op orde
Zelf zegt Atos een voorloper te zijn als het gaat om informatiebeveiliging. “Atos heeft dataprotectie in haar organisatie verankerd door het continu monitoren van het niveau van informatiebeveiliging met een Information Security Management-systeem,” zegt Patrick Nolan, Chief Operations Officer van Atos in Benelux & The Nordics. Eind vorig jaar kreeg Atos het ISO27001-certificaat voor haar systeem. “De bescherming van data behoort tot de kern van onze strategie op het gebied van compliance.”

Nieuws