NL | English

GDPR: start simple, go fast

Interview met Paul van Noesel | Tech Data | GDPR

 

“Wees zuinig met wat je opslaat”, een devies dat Paul van Noesel, Business Development Manager IT-Security bij Tech Data, organisaties graag meegeeft. Hij doelt daarmee op het type persoonsgegevens dat jouw organisatie verzamelt van je klanten en medewerkers. Want al heeft de handhaving van de GDPR-wetgeving de laatste jaren nog met de Franse slag plaatsgevonden, de verwachting is dat er vanaf 25 mei van dit jaar steeds vaker serieuze boetes zullen worden uitgedeeld. De wet stelt onder andere dat persoonsgegevens alleen verzameld mogen worden als ze noodzakelijk zijn voor het beoogde doel van de organisatie. Iets om bewust over na te denken, aldus Paul van Noesel.

 

 

Wat verandert er?

Gezien uitgebreide berichtgeving via de media kun je het bijna niet gemist hebben: alle organisaties binnen de Europese Unie zijn al sinds mei 2016 verplicht in kaart te brengen welke persoonsgegevens worden verwerkt, met welk doel ze dit doen en met wie de gegevens worden gedeeld. Ook is het verplicht om een datalek te melden. Dit doe je - binnen 72 uur - bij de Autoriteit Persoonsgegevens (AP). Er kan dan door de AP een onderzoek worden ingesteld of de regels binnen je organisatie zijn nageleefd. Tot zover niets nieuws onder de zon. Nieuw is wel de handhaving: die gaat binnenkort ingrijpend veranderen. Paul: “Realiseer je daarom dat je als organisatie verantwoordelijk bent voor de bescherming van de persoonsgegevens die je verzamelt en verwerkt. Er is een onderscheid in ‘gewone’ persoonsgegevens zoals naam, adres en woonplaats en bijzondere persoonsgegevens: BSN, ras, religie en gezondheid bijvoorbeeld. Welke gegevens jouw organisatie volgens de wet mag opslaan, is afhankelijk van de branche waarin je actief bent. In het geval van een datalek moet je kunnen aantonen met welk doel je gegevens hebt verzameld en wat je hebt gedaan om ze te beschermen. IT-Security speelt daar een grote rol in. Stel ook een protocol op hoe je handelt als er in jouw organisatie een datalek is ontstaan.”

 

Historie GDPR

De General Data Protection Regulation (GDPR) – in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) - is al sinds mei 2016 van kracht. De wet is de opvolger van de Wet Bescherming Persoonsgegevens die al dateert uit 1996. In die tijd hadden organisaties – zeker elektronisch - nog niet zoveel persoonsgegevens. Dat het verzamelen van persoonsgegevens zo explosief groeide, daar maakte niemand zich destijds zorgen om. Inmiddels zijn we erachter gekomen dat elektronische gegevens waardevol zijn. En helaas ook makkelijk te ontvreemden. De GDPR-wet beschermt daarom de privacy van mensen.

 

Persoonsgegevens van medewerkers

Een eerste belangrijke bron persoonsgegevens is die van medewerkers. “Voor de bescherming van die gegevens hebben bedrijven over het algemeen veel aandacht. Er zijn afspraken over gemaakt en ze zijn vaak redelijk goed beveiligd. Een beperkte groep mensen kan erbij… de mensen van HR. Alleen is er een zwakke schakel: het delen van persoonsgegevens met derde partijen, zoals de Arbodienst. Wat stuur je op en hoe gaat die partij ermee om? Als je persoonsgegevens doorstuurt, bijvoorbeeld bij ziekte, dan is dat belangrijk om te weten. Want jouw organisatie blijft verantwoordelijk. Zorg in dat soort gevallen daarom voor een Verwerkersovereenkomst met die partij. Daarmee sluit je de keten.”

 

 

 

 

Persoonsgegevens van klanten

“Ook bij persoonsgegevens van klanten geldt: wat sla je op? We slaan vaak meer op dan nodig, omdat het handig is: een geboortedatum bijvoorbeeld, want dan kunnen we een kaartje sturen als de klant jarig is. Of het geslacht. Wat de wet vooral wil is dat we daarover nadenken. Alles wat je opslaat kan in verkeerde handen terecht komen en in een verkeerde combinatie leiden tot iets wat we niet willen: identiteitsfraude bijvoorbeeld. In generieke zin zullen we zuiniger moeten zijn bij alles wat we elektronisch opslaan.”

 

 

IT-Security en IT-infrastructuur

Kritisch kijken naar wat je opslaat is één, beveiligen is twee. Of je organisatie GDPR-ready is, is dan ook onlosmakelijk verbonden met IT-Security en daarmee met de IT-infrastructuur. Paul: “Om je een idee te geven: toen we de GDPR-wetgeving analyseerden, ontdekten we dat bij 43 van de 99 artikelen IT-Security een belangrijke rol speelt. Daar wilden we iets mee doen. Klanten een handvat bieden op weg naar GDPR-compliancy.”

 

 

Een goed startpunt: de Bechtle GDPR Quickscan

Hoe weet je nu of je voldoet aan de GDPR-wetgeving? Speciaal daarvoor is de Bechtle GDPR Quickscan ontwikkeld. Paul: “De scan geeft je op drie vlakken helder inzicht waar je staat: de mens, het proces en de technologie. Op het gebied van technologie gaat de scan zelfs wat dieper en krijg je concrete aanbevelingen hoe je ramen en deuren kunt sluiten. Bechtle kan je daarbij uitstekend helpen en je aanvullende informatie geven over mogelijke oplossingen. Een laatste tip? Maak kleine stapjes, hou het overzichtelijk voor jezelf. Maar creëer wel een beeld van welke persoonsgegevens waar zijn, voor welk doel en hoe ze beveiligd zijn. Start simple, go fast.”