Zes stappen waarmee bestaande databeveiliging kan bijdragen aan GDPR

22 februari 2018 Consultancy.nl

Terwijl organisaties zich schrap zetten voor de impact van GDPR, zijn er volgens Jan Ermens, consultant bij RGP, manieren om slimmer om te gaan met de post-implementatie fase. Om de potentieel hoge kosten van het compliant blijven met de nieuwe regels binnen de perken te houden, kunnen bedrijven hun bestaande ISO-gecertificeerde informatiemanagementsystemen inzetten om sneller inzicht te verkrijgen in wat echt nodig is en wat nog anders moet.

Op 25 mei van dit jaar is het zover en zal de langverwachte General Data Protection Regulation (GDPR) in werking treden. Volgens de voorspellingen zal de ingrijpende verandering op het gebied van privacywetgeving en datamanagement wereldwijd veel impact hebben op bedrijven. Grote ondernemingen zullen mogelijk miljoeneninvesteringen moeten doen om aan de nieuwe regels te voldoen. Hoe hoog deze kosten echter ook uitpakken, ze verbleken in vergelijking met de boetes die kunnen worden opgelegd aan onvoorbereide organisaties. 

Veel organisaties zijn momenteel dan ook hard aan het worstelen om te zorgen dat ze voor 25 mei GDPR-compliant zijn. Terwijl de klok doortikt, blijkt het voldoen aan alle nieuwe regels nog niet zo eenvoudig. Dit komt niet alleen door de tijdsdruk, maar bijvoorbeeld ook door een gebrek aan duidelijkheid over wiens verantwoordelijkheid het nu eigenlijk is om te zorgen dat een organisatie GDPR-compliance bereikt. Daarnaast wordt de situatie nog eens verder bemoeilijkt door een gebrek aan vertrouwen ten aanzien van het identificeren van de risico’s die bedrijven lopen wanneer ze inventariseren wat er nodig is om na het verstrijken van de deadline te voldoen aan de regels.

Jan Ermens, managementconsultant bij RGP, stelt in dit verband dat de GDPR-projecten binnen veel organisaties onvoldoende toekomstbestendig zijn. Toch is het volgens hem niet alleen maar kommer en kwel wat betreft de almaar oplopende GDPR-werkdruk. Volgens Ermens, een specialist op het gebied van informatiemanagement, hoeven organisaties namelijk niet allemaal opnieuw het wiel uit te vinden bij het ontwerpen en implementeren van systemen en processen. In plaats daarvan kunnen de voorbereidingen voor GDPR worden vereenvoudigd door efficiënt en effectief gebruik te maken van de bestaande ‘Information Security Management Systems’ (ISMS). 

“ISMS is vaak nauw afgestemd op (delen van) ISO 27001, een certificeerbare best practice die zorgt voor de bescherming van de informatie van een organisatie door controles te implementeren die zowel mensen als processen en technologie omvatten”, stelt Ermens. Hij vervolgt: “Een ISO 27001-gecertificeerd ISMS wordt ondersteund door leiderschap vanuit de top en vormt onderdeel van de cultuur en strategie van de organisatie. Het maakt gebruik van een risico-gebaseerde benadering die continu wordt gemonitord, geüpdatet en gereviewd. Door voortdurend risico’s te identificeren en minimaliseren zal een organisatie in staat zijn te garanderen dat informatie binnen veranderende omstandigheden adequaat beschermd blijft.” 

Zes stappen waarmee bestaande databeveiliging kan bijdragen aan GDPR

Om te zorgen dat organisaties kunnen aantonen dat ze hun databeveiliging actief beheren in overeenstemming met de wereldwijd gebruikte best practices, bevat GDRP onderdelen die de inzet van bepaalde certificatieschema’s zoals ISO 27001 aanmoedigen. Met name dit onderdeel van de nieuwe wetgeving kan kansen bieden voor teams die zich bezighouden met voorbereidingen voor GDPR-compliance. 

Zes-stappenplan

Het advies van Ermens suggereert dat bedrijven er best achter kunnen komen dat ze, dankzij eerdere databeveiligingswetgeving en de toegenomen aandacht voor privacy in het informatietijdperk, allang beschikken over substantiële controlesystemen voor de bescherming van persoonsgegevens. In plaats van het lukraak implementeren van controles om het risico op datalekken te beperken, kunnen organisaties effectieve en adequate beveiligingsmaatregelen implementeren. Deze kunnen ze baseren op de resultaten van een formele risicoanalyse, die deel uitmaakt van hun al bestaande ISMS. Als gevolg hiervan zouden veel ondernemingen geld en tijd kunnen besparen, aangezien de toekomstige GDPR-compliance automatisch kan worden geïncorporeerd in dat al aanwezige ISMS.

Ermens beveelt zes stappen aan om het ISMS optimaal in te zetten in het streven naar GDPR-compliance. De eerste stap bestaat uit het inventariseren van waar persoonsgegevens staan opgeslagen en op welke wijze ze worden verwerkt. Vervolgens moeten bedrijven in de tweede stap de risico’s identificeren die kunnen leiden tot een lek van dergelijke persoonlijke data. De derde stap bestaat er dan uit om de vastgestelde risico’s te minimaliseren door de juiste maatregelen en controles te installeren. 

In de vierde stap zorgen organisaties voor de implementatie van beleid en procedures om de controlesystemen te voorzien van de benodigde ondersteuning. Hiermee is het proces echter nog niet voltooid en genoegen nemen met deze vier stappen kan tot gevolg hebben dat de maatregelen niet voldoende toekomstbestendig blijken na de initiële invoering van GDPR. Ermens stelt daarom voor dat bedrijven nog een vijfde stap zetten, waarin ze regelmatig de effectiviteit van de controlesystemen testen en auditen. Hierna kan de organisatie beginnen aan de zesde en laatste stap, waarin de risico’s nogmaals worden beoordeeld en de plannen, als onderdeel van het ISMS van het bedrijf, op regelmatige basis worden gerapporteerd en geüpdatet.

Ermens – die voorheen ook actief was als projectmanager voor de databeveiliging van de treasury van de Australische staat New South Wales – besluit: “Onze ervaring bij RGP toont aan dat het inzetten van een ISMS minder inspanning vereist en leidt tot een hogere succesratio voor GDPR-compliance initiatieven. Het zal het vertrouwensniveau ten aanzien van het afdekken van alle risico’s substantieel verhogen en garanderen dat GDPR-compliance deel is van de managementstructuur van de organisatie.”

Gerelateerd: Handleiding GDPR | Algemene verordening gegevensbescherming (AVG).

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup