Bas van Ooijen - 23 november 2017
De GDPR komt eraan. Bereid je met deze vier tips alvast goed voor op deze wet over data en privacy.

Je kunt al bijna Europe’s hit The Final Countdown horen. Nog even en dan is het al 25 mei 2018. Een bekende datum als je je bezighoudt met databeveiliging en privacy; de General Data Protection Regulation (GDPR) is dan van kracht. Hierbij vier tips voor een juiste voorbereiding en om ervoor te zorgen dat alles vóór die datum op orde is.

1. Stel een autorisatiematrix op

Stel een autorisatiematrix op waarin staat beschreven welke rechten een bepaalde rol/ functie mag hebben in de organisatie. Met deze matrix breng je in kaart welke personen in de organisatie met persoonsgegevens mogen werken.

Het is belangrijk dat medewerkers hiervan op de hoogte zijn, want deze mensen zijn speciaal hiervoor aangewezen. Even een bestandje delen onder de noemer van ‘handig, kan hij er ook bij’ is dan verleden tijd. Dat is geen pesterij of onnodig wallen opwerpen; het zorgt voor controle over privacy gevoelige informatie. De kans op een datalek verkleint hiermee.

2. Gebruik alleen de gegevens die je nodig hebt

Hoe minder je hebt, des te minder je kwijt kunt raken. Klinkt logisch… Vanuit dat idee verwacht de GDPR dat je zo min mogelijk privacygevoelige informatie hebt, verwerkt en bewaard. Het actief weggooien van informatie dat je lange tijd niet gebruikt of niet meer relevant is, hoort daar ook bij. Een op te stellen beleid geeft handvatten om te bepalen wanneer de data relevant is en hoe je de data veilig weggegooid.

3. Stel een privacy officer aan

Een privacy officer is een onafhankelijke persoon die adviseert en rapporteert over de naleving van de wet. Deze functie is verplicht wanneer op grote schaal gevoelige persoonsgegevens worden verwerkt, of als je structureel mensen observeert (fysiek of digitaal). Deze persoon mag zowel intern of extern zijn aangesteld. Bij die tweede mogelijkheid is dat bijvoorbeeld een (virtuele) privacy officer van KNNS.

4. Weet waar de data staat

Werk je met buitenlandse partijen (bv. Amazon of Google)? Controleer dan of zij binnen of buiten de EU persoonlijke informatie voor jou opslaan. Dat laatste mag alleen als zij voldoen aan strikte regelgeving, bijvoorbeeld als het land in kwestie door de Europese Commissie is gecertificeerd of dat de organisatie meedoet met het Privacy Shield. Let op! Je klanten kunnen eisen dat de data binnen de EU blijft.

Een geslaagd evenement over informatiebeveiliging

Lees artikel
Whitepaper

Gratis whitepaper

Met 15 tips voorbereid op de nieuwe datawet (GDPR)

Download gratis