< Terug naar overzicht

GDPR: 5 tips om te voldoen aan de data-privacywet

Organisaties die niet zorgvuldig met persoonsgegevens omgaan, riskeren strenge boetes als vanaf 25 mei de General Data Protection Regulation (GDPR) in Europa van kracht wordt. In deze vijf stappen kunt u aan de nieuwe regels gaan voldoen.

1. Bewustwording van het belang van dataveiligheid begint aan de bestuurstafel

Overtuig de directie van de noodzaak om de huidige manier van werken tegen het licht te houden. De consequenties van het overtreden van de regels kunnen helpen om de urgentie op te roepen: eventuele boetes kunnen oplopen tot 20 miljoen euro. Houd een eerste inventarisatie met alle betrokken partijen, op initiatief van de directie. Weten we welke persoonsgegevens er beheerd worden? Is de noodzaak daarvan duidelijk? Zijn we bijvoorbeeld juridisch verplicht om deze informatie te verzamelen?
De persoonlijke data mogen ook alleen gebruikt worden voor specifieke doelen en niet voor andere zaken. En het verzamelen van data moet evenredig zijn: er mag niet méér informatie worden verzameld dan nodig is voor de originele doeleinden. Ontwikkel vervolgens, in een interne dialoog, een algemene richtlijn en filosofie over de manier waarop uw organisatie met persoonsgegevens omgaat. Zet daar dan een algemeen protocol over op papier. Wat voor organisatie zijn wij, hoe bewaken we technisch en organisatorisch de veiligheid van de IT in het algemeen en die van persoonsgegevens in het bijzonder?

2. Zoals bij elke nieuwe uitdaging hangt het succes af van de mensen die hun schouders eronder zetten

Identificeer de belangrijkste taken en de bijbehorende aanjagers binnen uw organisatie. Volgens de GDPR zijn sommige organisaties, afhankelijk bijvoorbeeld van de gevoeligheid van de gebruikte persoonsgegevens, ook verplicht om een data privacy officer aan te wijzen. Dit moet ik elk geval iemand zijn met een juridische achtergrond. Het kan handig zijn om een ‘privacyraad’ samen te stellen waarin de belangrijkste afdelingen vertegenwoordigd zijn die met persoonsgegevens omgaan. Zoals IT, HR, R&D en Marketing & Communicatie. Met zo’n raad zorgt u ervoor dat iedereen dezelfde termen gebruikt, dat iedereen weet waarom veiligheid van persoonsgegevens belangrijk is en dat iedereen dezelfde aanpak volgt.

3. Maak een helder overzicht van de verschillende soorten data in de organisatie

Waar komen ze vandaan, waarvoor zijn ze bedoeld en met wie worden deze gegevens gedeeld? Stel vervolgens een proces met procedures op. Wat kan er misgaan met deze persoonsdata? En áls er iets misgaat, wat doen we dan? Een duidelijk proces zorgt ervoor dat iedereen het hoofd koel houdt en als een team handelt. Het voorkomt paniek.

4. Als u het verwerken van persoonsdata aan externe partijen uitbesteedt, zoals softwarebedrijven, moet u een databewerkingsovereenkomst met hen sluiten

Als die overeenkomst er al is, moet u checken of deze voldoet aan de nieuwe eisen. Geef de voorkeur aan gecertificeerde bedrijven (ISO 27001 JSAE) en zorg voor dataportabiliteit.

5. Zet een doorlopend programma op voor opleiden, oefenen en verbeteren van de dataveiligheid

Dit onderwerp gaat alle medewerkers aan, niet alleen IT of HR. Iedereen in de organisatie moet weten over welk soort informatie hij of zij beschikt, en tot op welke hoogte hij persoonlijk verantwoordelijk is bij het gebruik van privacygevoelige gegevens. Het programma waarborgt de continuïteit van de dataveiligheid. In het ideale geval krijgt de directie ook een periodiek verslag van de stand van zaken binnen dit programma.

► Meer weten over de voorbereidingen die HR moet treffen voor de GDPR? Download de whitepaper op pages.talentsoft.com/NL-Whitepaper-GDPR-Download

■ De auteur, Tommy Ottevaere, is accountmanager bij Talentsoft Learning. Hij schreef deze tekst als lid van de adviesraad van HR Square.


< Terug naar overzicht

U zoekt, u vindt !

HR Square | Magazine, E-zine, Netwerk, Website, Seminaries, ...

Word nu lid !
Geniet van de voordelen