De tijd begint te dringen! 25 mei is het zover, dan is de nieuwe wet AVG (GDPR) van kracht. Ik weet bijna zeker dat u het gevoel heeft ‘Ben ik er zelf en is mijn IT landschap er wel klaar voor?'.
U bent niet de enige! De wet geeft namelijk alleen een kader en hoe u deze wet precies invult in iedere situatie is lastig te beantwoorden. Na 25 mei zal er jurisprudentie komen en zullen de maatregelen wellicht aangescherpt moeten worden.
Er zijn een aantal basisstappen te nemen die u relatief snel kunt regelen. Deze wil ik graag met u bespreken.
Begin met een inventarisatie van welke persoonsgegevens u van het personeel vastlegt. Voeg daaraan toe de privacy gevoelige gegevens die u van uw klanten heeft opgeslagen en zet beiden in een Excel sheet. Leg daarbij vast om welke gegevens het gaat, wie de eigenaar van die gegevens is, het doel waarvoor u ze vastlegt en de bewaartermijn.
Pas uw privacy statement op de website aan door daarin aan te geven welke gegevens u verzamelt van uw bezoeker en met welk doel u dat doet. Kijk nog eens goed naar uw cookie beleid. Zet er ook bij hoe de bezoeker u kan benaderen om informatie op te vragen over de gegevens die u van hen vastlegt. De bezoeker heeft straks het recht om deze gegevens op te vragen en te laten verwijderen als ze dat wensen.
Maak ook voor uw eigen medewerkers een privacy statement, zodat ook zij goed zijn ingelicht over welke gegevens u van hen heeft opgeslagen en met wie u deze uitwisselt. (Bijv. een leasemaatschappij.)
Maak vervolgens een procedure hoe een datalek gemeld kan worden. Leg ook vast bij wie uw collega's het datalek moeten melden. Deze verantwoordelijke persoon zal beoordelen of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens.
Sluit een bewerkersovereenkomst af met de organisatie die voor u als verantwoordelijke voor de data een bewerking uitvoert (bijv. de salarisverwerker). En maak de klanten er attent op dat zij met u een bewerkersovereenkomst moeten afsluiten als u aan hen dienstverlening aanbiedt.
Maak ten slotte een template voor een logboek waarin u de meldingen van een datalek goed kunt registeren en acties kunt uitzetten om nieuwe meldingen te voorkomen.
Tot zover een paar basis activiteiten om AVG compliant te worden. De grootste uitdaging is echter: Hoe weet u of de autorisaties in uw IT systemen, die u geïnventariseerd heeft, goed zijn ingericht? In veel organisaties zijn de autorisaties in de loop van de jaren aangepast en is het overzicht er niet of nauwelijks.
Als u de kans op een datalek wilt verkleinen is het beperken van toegang tot persoonsgegevens een hele goede start, waar u niet bij kunt kan u immers niet lekken!
Dynamics AX/365 , Dynamics NAV en Dynamics CRM maken gebruik van Role Based Access Control (RBAC) en daarmee geeft u personen toegang op basis van hun rol die ze in de organisatie hebben.
Conclusie:
Dit klinkt eenvoudig, maar kost veel tijd. Niet alleen de inventarisatie maar ook het opschonen, herinrichten en het opstellen van rapportages.