Voldoen aan de GDPR-wetgeving, welke voorbereidingen treffen?

Vanaf mei 2018 hebben consumenten extra rechten op het vlak van privacy dankzij GDPR. Deze verstrenging van de privacywetgeving houdt in dat bedrijven op een veilige(re) manier met persoonsgegevens moeten omgaan. In deze blog geven we tips hoe bedrijven zich hierop kunnen voorbereiden.

De eerste stap in het proces om te voldoen aan de regelgeving is ongetwijfeld GDPR-bewustmaking creëren binnen uw organisatie. Bedrijven dienen op de hoogte te zijn van deze regelgeving en de gevolgen ervan. Niet enkel uw IT-afdeling zal hierin betrokken worden, ook HR, Marketing en alle diensten die data verwerken zullen in aanraking komen met de voorschriften van GDPR.

 

Uw bedrijf bezit data op veel verschillende locaties (databases, fileservers, in the cloud, registraties via de website, 3rd party...). Deze gegevens moeten allemaal in kaart gebracht worden.
Het lokaliseren van alle persoonsgebonden data en de weg die deze informatie binnen het bedrijf volgt, zal de analyse makkelijker maken. Maak ook impactanalyses van de verwerking van deze data. Hiermee bepaal je wat de impact is, als er ondanks alle voorzorgen toch een datalek zou optreden. Zo kan je de risico’s in kaart brengen.

 

Lijst de tools op die persoonsgebonden data beschermen bijv. firewalls, web application firewalls, DLP, dataclassificatie.
Evalueer uw huidige beleidsmaatregelen en processen. Ga ook op zoek naar de inconsistenties via een gap analysis.

 

Op basis van de verschillende analyses kan u de nodige maatregelen onderzoeken.
Bepaal de prioriteiten op basis van het risico. Stel een tijdlijn op en plan hierin alle noodzakelijke aanpassingen. Aan de hand van dit plan, kan u een inschatting maken welke inspanningen uw bedrijf dient te doen op vlak van beleid, personeel en budget. 

 

Implementeer vervolgens de voor uw bedrijf specifieke tools en acties om u in regel te stellen. Vergeet hierbij het belang van communicatie niet. Doordat de impact van deze wetgeving invloed heeft op verschillende afdelingen binnen uw bedrijf, zal een goede bewustwordingscampagne noodzakelijk blijven. De opvolging van de correcte bescherming van al deze informatie, is ook een blijvend proces. Door het aanstellen van een data protection officer kan u de resultaten beter borgen. 

 

De impact voor een bedrijf is dus niet alleen technisch, maar ook procesmatig (bijv. binnen de 72u moet je een datalek melden aan de bevoegde instantie) en administratief (policies voorzien).

U zal hierbij expertise in zowel de juridische regelgeving als in technische en administratieve beveiligingsmaatregelen nodig hebben.
SpotIT kan u op verschillende manieren ondersteuning bieden om uw GDPR-traject tot een goed einde te brengen. Contacteer ons gerust voor meer info.