GDPR

GDPR–hoe groot is de impact voor ú?

9 maart 2017

GDPR

GDPR ofwel de ‘General Data Protection Regulation’ gaat vandaag vlot over de tong. Van CIO tot CFO, van CPO tot de VC (veiligheidsconsulent) en ver daarbuiten. We zien vandaag GDPR zelfs verschijnen als ‘stempel’ op hardware en andere toepassingen. Maar wat is nu de echte impact van GDPR op úw organisatie?

stamp-600602_1920.jpg

Weinigen kunnen hier een concreet antwoord op geven en dan krijgt u vooral kreten zoals DPO (Data Protection Officer), DPIA (Data Privacy Impact Analyse), Hardware of Applicaties te horen. Bij Realdolmen geloven we in een concreet aantal pragmatische stappen die u als organisatie  helpen om de ‘GDPR-oefening’ op een gestructureerde manier aan te pakken, zonder u in een avontuur te storten zonder eind en zonder bijkomende en vaak zinloze kosten aan hardware- of software-oplossingen die later uw OPEX-budget enkel vergroten omdat u al deze nieuwe componenten ook nog eens moet beheren.

We lichten hieronder onze aanpak in vier stappen toe.

Stap 1: is mijn bedrijf onderhevig aan GDPR?

Het antwoord is bijna de facto JA. De echte vraag is:  zijn alle opgelegde criteria ook van toepassing op mijn organisatie? Dit levert een veel genuanceerder antwoord op.

Het staat buiten kijf dat alle persoonlijke data  behandeld moeten worden met respect en volgens bepaalde spelregels. Maar bepaalde maatregelen zoals het  aanstellen van een DPO is enkel in specifieke situaties nodig. We raden dit zelfs volledig af voor de organisaties die er niet toe verplicht zijn (de verplichtingsvoorwaarden zijn terug te vinden in de regulatie zelf). Het wekt namelijk enkel de schijn dat u  op ‘grote’ schaal bezig bent met persoonlijke data waardoor meer vragen worden gesteld, meer acties verwacht enz.

Onderzoek naar wat specifiek nodig is binnen uw bedrijf staat dus centraal in  stap 1 En levert meteen een aantal consequenties op. We noemen dit “een bedrijfsprofiel m.b.t. Data Privacy opstellen”. Belangrijk hierbij is dat u uw eigen werknemers niet vergeet in het onderzoek. Over hoeveel mensen gaat het?  Hoe vaak doe ik een update of raadpleeg ik een dossier? Wat houden we bij, wat is nodig en wat is relevant? Het zijn maar enkele voorbeelden van vragen die u zichzelf moet stellen..

Stap 2: Data Mapping

Waar worden uw gegevens vandaag bewaard? Dit wordt een van de hoekstenen binnen de toekomstige GDPR: waar zitten mijn gegevens, hoe houd ik ze up-to-date en waar moet ik ze verwijderen in het kader van het “recht om vergeten te worden”?

Betekent dit dat u als organisatie een Data Warehouse- oefening moet starten? Staat u aan de vooravond van een implementatietraject van BI of Data Insights? Dergelijke opdrachten duren vaak meerdere maanden (+6) of zelfs meerdere jaren. Als u daar vandaag mee begint, hebt u op 25/5/2018 een probleem. De keuze ligt uiteraard bij u, maar als u tijd noch budget hebt voorzien voor deze oefening, dan kiest u beter voor de pragmatische aanpak.

Inventarisatie van alle dataobjecten zorgt voor inzicht in uw omgeving. Dat wil niet zeggen dat alles gestructureerd is of dat alles automatisch verloopt. Maar het geeft u wel de kans als organisatie om meteen te ageren op vragen.

Bijkomend voordeel is dat u met deze informatie een risicoprofiel kunt bepalen. Als u niet weet waar uw data zit, hoe kunt u dan bepalen wat het risico is als u ze verliest of als de data niet correct is? Er zij  verschillende mogelijkheden om zo’n risicoprofiel te bepalen, gaande van complexe  SAP- en andere implementaties tot SAS, Informatica of andere tools die met een minimale effort zorgen voor een goed zicht op uw data assets. (Verder  meer over SAS en Informatica)

Stap 3: End Points

Omdat veel organisaties de end points vergeten, willen we ze hier zeker even onder de aandacht brengen. U kunt dan wel hopen euro’s investeren in beveiliging en beleid maar wat doet u als een werknemer toch een extract van de database in .xls mee naar huis neemt op een USB-stick om verder te werken en de stick na de vrijdagavonddrink met de collega’s verliest bij het nemen van zijn autosleutels?

usb-key-1214305_1920 (1).jpg
De meest urgente vragen die op dat moment vanuit de DPA (Data Protection Authority of Privacy Commissie) komen zijn: Welke informatie ben je verloren? Van welke of hoeveel mensen? Welke acties kunnen we (als organisatie) nemen om de schade te beperken (lees: remote whipe, encryptie, enz.)?

Als u niet over een degelijk Mobile Device Management beschikt, is het heel moeilijk om met een dergelijke situatie om te gaan. Zeker nu BYOD, flexibel werken en mobiele telefoons niet meer weg te denken zijn van de werkplek. Zonder de nodige aandacht hiervoor zijn alle corporate inspanningen rond beveiliging en beleid een maat voor niets. Vergeet niet: een ketting is zo sterk als zijn zwakste schakel.

Stap 4: Consent (toestemming)

Binnen GDPR niet langer inclusief en/of binnen algemene voorwaarden. Neen, expliciet! En specifiek: voor een duidelijk omschreven doel en een beperkte periode. Tot daar wat u moet doen.  Maar hoe moet u dat doen?

Eerder vroeg dan laat zult u (bestaande of nieuwe) tooling moeten bekijken om “consent” ‘beheerbaar’ te houden. Vergeet niet dat binnen de GDPR de bewijslast bij de organisatie ligt en dat deze te allen tijde intrekbaar is door de “data subject”. Lijsten in Excel of SharePoint zijn werkbaar voor het beheer van een  beperkt aantal “consents”. Maar een dergelijke lijst zal, zelfs bij beperkt aantal “data subjects”, al snel te groot worden. Zeker als u voor meerdere zaken toestemming vraagt aan de betrokkenen.

Op een bepaald moment moet u toch van elk individueel dataveld van de “data subject” willen of moeten weten waarom u dit stuk informatie gevraagd hebt, of en voor hoe lang u er de toestemming voor hebt gekregen, en of de toestemming  niet terug werd ingetrokken. Om nog maar te zwijgen van de manier waarop de toestemming werd gegeven. De GDPR laat bijvoorbeeld toe om mondeling consent te geven, maar dat betekent dat u een geluidsopname van de toestemming moet opslaan als bewijs en moet koppelen aan datavelden.

U hebt als organisatie 2 opties. Manueel beheer verderzetten tot er een commerciële oplossing komt om consent te beheren. Deze oplossing zal er zeker komen en is vandaag al in de maak. Hoe zij echter de noden zal invullen en vooral met welk prijskaartje is verre van bekend. Opnieuw zijn hier meer pragmatische oplossingen te bedenken. Ik grijp dan ook graag terug op de tweede optie, namelijk de eerder vernoemde oplossingen zoals Informatica en SAS. Beide zijn niet voorzien van een afzonderlijke functie om content te beheren maar kunnen, mits een beetje creativiteit, wel op die manier geconfigureerd worden zodat u een professionele oplossing hebt die zeker zal voldoen aan uw noden op dit vlak.

Conclusie

U ziet dat GDPR meer is dan enkel de DPO aanstellen en dat 25/05/2018 veel dichterbij is dan wij allemaal verwachten. Mits een pragmatische insteek hebt u echter nog voldoende tijd om uw bedrijf klaar te maken voor de regulatie én de sancties.

Maar voor alles is onze belangrijkste boodschap aan u: ACT NOW

Gert.jpgGert Maton, Senior Consultant




Wilt u meer weten over de GDPR of wilt u dat wij u helpen om uw bedrijf klaar te stomen tegen mei 2018, contacteer me dan via  Gert.Maton@realdolmen.com.

Inschrijven op de nieuwsbrief

Blijft u graag op de hoogte van nieuws en aanbiedingen over onderwerpen die u zelf kiest?

Schrijf u hier in