gdprmeetup- informationsecurenl25 mei nadert snel. Hieronder staan de 12 hoofdstappen om te voldoen aan deze nieuwe wetgeving.

Vragen? Bel(zie nummer onder contact) of Mail (contact@informationsecure.nl)

1. Data inventarisatie of Data Mapping. Leg vast waar je persoonsgegevens gebruikt, waarvoor, door wie. Let daarbij op applicaties, systemen maar ook papier, archieven etc. Leg ook de gevoeligheid van de persoonsgegevens vast: bijzondere persoonsgegevens. Leg dit vast in een tool(vaak excel) waaraan je ook risico’s, owners, maatregelen en planning(deadlines) kunt koppelen.

2. Data Protection Impact Assessment. Doe een risico analyse op de persoonsgegevens uit stap 1 in relatie tot het wel of niet voldoen aan de GDPR. Neem hiervoor de volgende uitgangspunten als basis: wettelijke grond, legitimiteit(toestemming), adequaatheid, accuraatheid, termijn waarbij gegevens worden bewaard, veiligheid van de gegevens.

3. Verwerking door derden. Indien derden persoonsgegevens verwerken of jij verwerkt zelf persoonsgegevens sluit dan een bewerkers overeenkomst af met de derde partij of je opdrachtgever.

4. Internationale of Cross Border Transfer. Worden de persoonsgegevens internationaal verstuurd aan derde landen buiten EEA en zijn er voldoende afspraken hierover met wettige grondslag en bescherming. Hoe veilig worden deze gegevens verstuurd en neem hiervoor adequate maatregelen indien nodig.

5. Rechten van natuurlijke personen. Klanten, personeel hebben recht op inzage, verwijdering, aanpassing, protest, data portabiliteit en om vergeten te worden. Op welke wijze gaat je organisatie hieraan voldoen?

6. Data lekken. Richt je organisatie in zodanig dat iedereen weet wie wat moet doen bij een datalek. Welke gegevens er moeten worden vastgelegd, verzameld en of de Autoriteit Persoonsgegevens(AP) moet worden gewaarschuwd of niet. Hanteer hiervoor het aanmeldingsformulier van een Datalek van AP en kijk hoe je organisatie zo kan inrichten dat aan de informatievragen in dit formulier kan worden voldaan.

7. Privacy policy of privacy beleid. Heb je een externe privacy beleid voor op je website? Heb je een privacy beleid voor binnen je organisatie. Let daarbij op bijzondere persoonsgegevens en de specifieke toestemmingen voor gebruik. Ook kun je gelaagde privacy beleid tonen op websites ipv. lange teksten. Houdt het privacy beleid begrijpelijk in de taal van de mensen die het betreft.

8. Privacy by design en Default. Verandert er iets in je organisatie kwa producten of diensten voor klanten wat mogelijke risico’s oplevert voor persoonsgegevens? Voer dan Privacy by Design en Default in. Pas je ontwikkelingen aan met privacy checks of impacts. Stel bijvoorbeeld de settings van applicaties en systemen op een zo veilig mogelijk manier in tav. persoonsgegevens.

9. GDPR Awareness Trainingen. Maak jezelf en personeel bewust van de nieuwe privacy wetgeving door training en workshops. Door een verhoogd bewustzijn onder de medewerkers wordt de veilige omgang met persoonsgegevens een vanzelfsprekend iets. Een tweede natuur bij wijze van spreken wat met name datalekken door onwetendheid of vergissingen al verminderd of zelfs voorkomt.

10. Technische en Organisatorische Maatregelen. Stel de technische en organisatorische maatregelen vast op basis van de risico analyse uit punt 2 met inachtneming van de overige stappen. Hierbij moet je de risicobeheersmaatregelen opstellen die de risico’s gesignaleerd in de DPIA punt 2 afdekken. Let daarbij op dat de zwaarte van de risicobeheersmaatregel afhangt van de categorie persoonsgegevens. Bijzondere persoonsgegevens moeten zijn afgedekt door zwaardere maatregelen bijvoorbeeld.

11. Implementatie van de maatregelen. Implementeer de technische en organisatorische maatregelen in je organisatie. Vertaal de risicobeheersmaatregelen in praktische uitvoering in je organisatie, processen, systemen en applicaties. Dit betreft zowel harde IT veiligheid(firewalls, patches, encryptie bv.) als aanpassing van procedures en beleid.

12. Testen van de Maatregelen. Test de technische en organisatorische maatregelen op demonstreerbaarheid.(zichtbaar en verifieerbaar). Bijvoorbeeld: doe een simulatietest van de datalek procedure. Of check of bij verwerking van bijzondere persoonsgegevens dit ook expliciet is en extra informatie wordt gegeven aan de natuurlijke persoon en of dit klopt met de verwerking. Check al je processen, applicaties en systemen op ingevoerde maatregelen.

 

In 12 stappen voldoen aan de GDPR/AVG voor 25 mei