De tijd begint te dringen! 25 mei is het zover, dan is de nieuwe wet AVG (GDPR) van kracht. Ik weet bijna zeker dat u het gevoel heeft ‘Ben ik er zelf en is mijn IT landschap er wel klaar voor?'.
U bent niet de enige! De wet geeft namelijk alleen een kader en hoe u deze wet precies invult in iedere situatie is lastig te beantwoorden. Na 25 mei zal er jurisprudentie komen en zullen de maatregelen wellicht aangescherpt moeten worden.
Er zijn een aantal basisstappen te nemen die u relatief snel kunt regelen. Deze wil ik graag met u bespreken.
1. Inventariseer welke gegevens u vastlegt
Begin met een inventarisatie van welke persoonsgegevens u van het personeel vastlegt. Voeg daaraan toe de privacy gevoelige gegevens die u van uw klanten heeft opgeslagen en zet beiden in een Excel sheet. Leg daarbij vast om welke gegevens het gaat, wie de eigenaar van die gegevens is, het doel waarvoor u ze vastlegt en de bewaartermijn.
2. Voeg privacy statement toe op de website
Pas uw privacy statement op de website aan door daarin aan te geven welke gegevens u verzamelt van uw bezoeker en met welk doel u dat doet. Kijk nog eens goed naar uw cookie beleid. Zet er ook bij hoe de bezoeker u kan benaderen om informatie op te vragen over de gegevens die u van hen vastlegt. De bezoeker heeft straks het recht om deze gegevens op te vragen en te laten verwijderen als ze dat wensen.
3. Maak privacy statement voor medewerkers
Maak ook voor uw eigen medewerkers een privacy statement, zodat ook zij goed zijn ingelicht over welke gegevens u van hen heeft opgeslagen en met wie u deze uitwisselt. (Bijv. een leasemaatschappij.)
4. Maak een procedure voor het melden van een datalek
Maak vervolgens een procedure hoe een datalek gemeld kan worden. Leg ook vast bij wie uw collega's het datalek moeten melden. Deze verantwoordelijke persoon zal beoordelen of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens.
5. Sluit een bewerkingsovereenkomst af
Sluit een bewerkersovereenkomst af met de organisatie die voor u als verantwoordelijke voor de data een bewerking uitvoert (bijv. de salarisverwerker). En maak de klanten er attent op dat zij met u een bewerkersovereenkomst moeten afsluiten als u aan hen dienstverlening aanbiedt.
6. Zorg voor een logboek om meldingen van datalek te registeren
Maak ten slotte een template voor een logboek waarin u de meldingen van een datalek goed kunt registeren en acties kunt uitzetten om nieuwe meldingen te voorkomen.
Voorkom een datalek, beperk de toegang tot persoonsgegevens!
Tot zover een paar basis activiteiten om AVG compliant te worden. De grootste uitdaging is echter: Hoe weet u of de autorisaties in uw IT systemen, die u geïnventariseerd heeft, goed zijn ingericht? In veel organisaties zijn de autorisaties in de loop van de jaren aangepast en is het overzicht er niet of nauwelijks.
Als u de kans op een datalek wilt verkleinen is het beperken van toegang tot persoonsgegevens een hele goede start, waar u niet bij kunt kan u immers niet lekken!
Dynamics AX/365 , Dynamics NAV en Dynamics CRM maken gebruik van Role Based Access Control (RBAC) en daarmee geeft u personen toegang op basis van hun rol die ze in de organisatie hebben.
Conclusie:
- Zorg dat u start met de inventarisatie van welke rollen toegang verlenen tot persoonsgegevens.
- Analyseer welke personen lid zijn van een rol met autorisaties voor persoonsgegevens.
Dit klinkt eenvoudig, maar kost veel tijd. Niet alleen de inventarisatie maar ook het opschonen, herinrichten en het opstellen van rapportages.
Renger Reitsema is directeur bij Mprise. Hij werkt sinds 1994 met ERP systemen waaronder Baan ERP en Microsoft Dynamics NAV en AX. Renger blogt over onderwerpen die te maken hebben met beheer van ERP systemen