De GDPR (General Data Protection Regulation) of AVG (Algemene verordening gegevensbescherming) bepaalt sinds 2018 het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Hoe moet u zich als bedrijf organiseren en wat moet u opzetten om deze wetgeving correct te implementeren?
Hoewel de GDPR-wetgeving al vijf jaar van kracht is, blijft de implementatie voor sommige bedrijven een heikel punt. Ja, bedrijven investeerden massaal in de naleving ervan, stelden privacybeleidslijnen op, implementeerden bewaartermijnen en zo meer. Toch vinden medewerkers de interpretatie van de wet niet altijd even makkelijk. Bijvoorbeeld, wanneer mag iemand nu wel of niet toegevoegd worden aan een mailinglijst? De impact van de GDPR is dus nog steeds groot. Hoog tijd om een goede structuur op te zetten met duidelijke verantwoordelijken.
Toegewijd team
Om de GDPR echt te integreren in de dagelijkse manier van werken is het belangrijk toegewijde medewerkers aan te stellen. Dit kan door een Data Protection Officer (DPO) en een security architect verantwoordelijk te maken voor de vertaalslag van de wet naar de bedrijfscontext. De combinatie van beide profielen garandeert een doordachte aanpak. Waar de DPO als GDPR-expert fungeert, reikt de security architect de nodige IT-kennis aan.
Samen analyseren ze wat goed functioneert binnen de onderneming en welke tekortkomingen er zijn. Hieruit vloeien een aantal acties voort: bestaande richtlijnen scherpstellen, firewalls en applicaties aanpassen en software upgraden. Om dit zo efficiënt mogelijk door te voeren, is het raadzaam developers, projectmanagers, software-ingenieurs, systeem- en netwerkingenieurs actief te betrekken in deze omslag. Uiteraard in functie van uw eigen systemen en infrastructuur.
Daarnaast moeten de aangepaste tools ook uitvoerig getest worden: de zogenaamde ‘penetration testing’, waarbij een aanval gesimuleerd wordt. Op basis hiervan kunnen bijkomende wijzigingen aan de applicaties, architectuur of infrastructuur nodig zijn.
Eindverantwoordelijke
Dit klinkt als een heuse opdracht. Bekijk daarom zeker wat u binnenshuis wil en moet houden, tegenover wat u kan uitbesteden. Werkt u met externe partijen samen, verlies dan de totale eindverantwoordelijkheid niet uit het oog. Dat elke partner op zich goed werk levert, betekent niet dat de totaaloplossing waterdicht en veilig is. Het is essentieel dat de eindverantwoordelijke voldoende kennis van zaken heeft en honderd procent te vertrouwen is. Zo bent u zeker dat die persoon de belangen van uw bedrijf ten volle behartigt.