Zes stappen waarmee bestaande databeveiliging kan bijdragen aan GDPR

22 februari 2018 Consultancy.nl

Terwijl organisaties zich schrap zetten voor de impact van GDPR, zijn er volgens Jan Ermens, consultant bij RGP, manieren om slimmer om te gaan met de post-implementatie fase. Om de potentieel hoge kosten van het compliant blijven met de nieuwe regels binnen de perken te houden, kunnen bedrijven hun bestaande ISO-gecertificeerde informatiemanagementsystemen inzetten om sneller inzicht te verkrijgen in wat echt nodig is en wat nog anders moet.

Op 25 mei van dit jaar is het zover en zal de langverwachte General Data Protection Regulation (GDPR) in werking treden. Volgens de voorspellingen zal de ingrijpende verandering op het gebied van privacywetgeving en datamanagement wereldwijd veel impact hebben op bedrijven. Grote ondernemingen zullen mogelijk miljoeneninvesteringen moeten doen om aan de nieuwe regels te voldoen. Hoe hoog deze kosten echter ook uitpakken, ze verbleken in vergelijking met de boetes die kunnen worden opgelegd aan onvoorbereide organisaties. 

Veel organisaties zijn momenteel dan ook hard aan het worstelen om te zorgen dat ze voor 25 mei GDPR-compliant zijn. Terwijl de klok doortikt, blijkt het voldoen aan alle nieuwe regels nog niet zo eenvoudig. Dit komt niet alleen door de tijdsdruk, maar bijvoorbeeld ook door een gebrek aan duidelijkheid over wiens verantwoordelijkheid het nu eigenlijk is om te zorgen dat een organisatie GDPR-compliance bereikt. Daarnaast wordt de situatie nog eens verder bemoeilijkt door een gebrek aan vertrouwen ten aanzien van het identificeren van de risico’s die bedrijven lopen wanneer ze inventariseren wat er nodig is om na het verstrijken van de deadline te voldoen aan de regels.

Jan Ermens, managementconsultant bij RGP, stelt in dit verband dat de GDPR-projecten binnen veel organisaties onvoldoende toekomstbestendig zijn. Toch is het volgens hem niet alleen maar kommer en kwel wat betreft de almaar oplopende GDPR-werkdruk. Volgens Ermens, een specialist op het gebied van informatiemanagement, hoeven organisaties namelijk niet allemaal opnieuw het wiel uit te vinden bij het ontwerpen en implementeren van systemen en processen. In plaats daarvan kunnen de voorbereidingen voor GDPR worden vereenvoudigd door efficiënt en effectief gebruik te maken van de bestaande ‘Information Security Management Systems’ (ISMS). 

“ISMS is vaak nauw afgestemd op (delen van) ISO 27001, een certificeerbare best practice die zorgt voor de bescherming van de informatie van een organisatie door controles te implementeren die zowel mensen als processen en technologie omvatten”, stelt Ermens. Hij vervolgt: “Een ISO 27001-gecertificeerd ISMS wordt ondersteund door leiderschap vanuit de top en vormt onderdeel van de cultuur en strategie van de organisatie. Het maakt gebruik van een risico-gebaseerde benadering die continu wordt gemonitord, geüpdatet en gereviewd. Door voortdurend risico’s te identificeren en minimaliseren zal een organisatie in staat zijn te garanderen dat informatie binnen veranderende omstandigheden adequaat beschermd blijft.” 

Zes stappen waarmee bestaande databeveiliging kan bijdragen aan GDPR

Om te zorgen dat organisaties kunnen aantonen dat ze hun databeveiliging actief beheren in overeenstemming met de wereldwijd gebruikte best practices, bevat GDRP onderdelen die de inzet van bepaalde certificatieschema’s zoals ISO 27001 aanmoedigen. Met name dit onderdeel van de nieuwe wetgeving kan kansen bieden voor teams die zich bezighouden met voorbereidingen voor GDPR-compliance. 

Zes-stappenplan

Het advies van Ermens suggereert dat bedrijven er best achter kunnen komen dat ze, dankzij eerdere databeveiligingswetgeving en de toegenomen aandacht voor privacy in het informatietijdperk, allang beschikken over substantiële controlesystemen voor de bescherming van persoonsgegevens. In plaats van het lukraak implementeren van controles om het risico op datalekken te beperken, kunnen organisaties effectieve en adequate beveiligingsmaatregelen implementeren. Deze kunnen ze baseren op de resultaten van een formele risicoanalyse, die deel uitmaakt van hun al bestaande ISMS. Als gevolg hiervan zouden veel ondernemingen geld en tijd kunnen besparen, aangezien de toekomstige GDPR-compliance automatisch kan worden geïncorporeerd in dat al aanwezige ISMS.

Ermens beveelt zes stappen aan om het ISMS optimaal in te zetten in het streven naar GDPR-compliance. De eerste stap bestaat uit het inventariseren van waar persoonsgegevens staan opgeslagen en op welke wijze ze worden verwerkt. Vervolgens moeten bedrijven in de tweede stap de risico’s identificeren die kunnen leiden tot een lek van dergelijke persoonlijke data. De derde stap bestaat er dan uit om de vastgestelde risico’s te minimaliseren door de juiste maatregelen en controles te installeren. 

In de vierde stap zorgen organisaties voor de implementatie van beleid en procedures om de controlesystemen te voorzien van de benodigde ondersteuning. Hiermee is het proces echter nog niet voltooid en genoegen nemen met deze vier stappen kan tot gevolg hebben dat de maatregelen niet voldoende toekomstbestendig blijken na de initiële invoering van GDPR. Ermens stelt daarom voor dat bedrijven nog een vijfde stap zetten, waarin ze regelmatig de effectiviteit van de controlesystemen testen en auditen. Hierna kan de organisatie beginnen aan de zesde en laatste stap, waarin de risico’s nogmaals worden beoordeeld en de plannen, als onderdeel van het ISMS van het bedrijf, op regelmatige basis worden gerapporteerd en geüpdatet.

Ermens – die voorheen ook actief was als projectmanager voor de databeveiliging van de treasury van de Australische staat New South Wales – besluit: “Onze ervaring bij RGP toont aan dat het inzetten van een ISMS minder inspanning vereist en leidt tot een hogere succesratio voor GDPR-compliance initiatieven. Het zal het vertrouwensniveau ten aanzien van het afdekken van alle risico’s substantieel verhogen en garanderen dat GDPR-compliance deel is van de managementstructuur van de organisatie.”

Gerelateerd: Handleiding GDPR | Algemene verordening gegevensbescherming (AVG).

More on: RGP
Netherlands
Company profile
RGP
RGP is not a Netherlands partner of Consultancy.org
Partnership information »
Partnership information

Consultancy.org works with three partnership levels: Local, Regional and Global.

RGP is a not a partner of Consultancy.org.

Upgrade or more information? Get in touch with our team for details.

Send
RGP names new leaders for on-demand talent and business consulting units
United States
RGP names new leaders for on-demand talent and business consulting units Resources Connection (RGP), an Irvine, CA-headquartered management consultancy, has hired Michael Lane as president of on-demand talent and promoted Jon Bohlman to president of Veracity Consulting.
18 juni 2024
RGP adds Roger Carlile to board of directors
United States
RGP adds Roger Carlile to board of directors Resources Connection (RGP), an Irvine, CA-headquartered management consultancy, has appointed Roger Carlile, founder of Ankura Consulting Group, to its board of directors.
07 juni 2024
RGP appoints Bhadresh Patel as chief operating officer
United States
RGP appoints Bhadresh Patel as chief operating officer Resources Connection (RGP), an Irvine, CA-headquartered management consultancy, has appointed Bhadresh Patel as chief operating officer.
11 april 2024
RGP to acquire financial services consultancy Reference Point
United States
RGP to acquire financial services consultancy Reference Point Resources Connection (RGP), an Irvine, CA-headquartered management consultancy, has agreed to acquire Reference Point, a New York-based financial services industry consulting firm.
02 april 2024
CloudGo joins RGP's digital consulting subsidiary Veracity
Asia
CloudGo joins RGP's digital consulting subsidiary Veracity Global consulting firm RGP has acquired CloudGo, a digital transformation consultancy firm headquartered in Singapore. The move adds a team of around 80 staff in three countries to RGP’s headcount.
15 november 2023
RGP reports 28% revenue growth in fiscal year 2022
United States
RGP reports 28% revenue growth in fiscal year 2022 Resources Connection (RGP), an Irvine, CA-headquartered management consultancy, announced its fourth quarter and full-year results for the fiscal year ended May 28, 2022.
01 augustus 2022
RGP announces inaugural advisory board
United States
RGP announces inaugural advisory board RGP, an Irvine, CA-headquartered management consultancy, has announced the formation of its first advisory board.
10 januari 2022
RGP launches digital platform for professional gig workers
United States
RGP launches digital platform for professional gig workers RGP, a global management consulting firm, has launched HUGO by RGP, a new digital staffing platform. The key differentiator for HUGO is that its talent pool will be composed of W-2 employees of RGP.
28 oktober 2021

Cybersecurity nieuws

Cybersecurity adviesbureaus Cybersecurity consultancy diensten

Privacy nieuws

Meer Privacy

Risk & Compliance nieuws

Risk & Compliance adviesbureaus Risk & Compliance consultancy diensten