In regel met GDPR. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving.

Transcriptie

1 In regel met GDPR Op 25 mei 2018 moeten bedrijven voldoen aan de voorschriften van de nieuwe Europese Algemene Verordening Gegevensbescherming, de General Data Protection Regulation ( GDPR ). Veiligheid van informatie en privacy zijn de belangrijkste voorwaarden in de GDPR. In een steeds veranderende wereld, is het van het grootste belang dat u als bedrijf voldoet aan alle relevante weten regelgeving, met steeds diepgaandere eisen ter bescherming van persoonsgegevens. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving. 1. Juridisch 2. Processen 3. Technisch Pagina 1 van 7

2 1. Juridisch advies bij verwerking persoonsgegevens Iedereen op de hoogte van GDPR Een specialist inzake privacy en gegevensbescherming geeft een presentatie voor de sleutelpersonen binnen uw organisatie. Op deze manier wordt u een duidelijk beeld verschaft van wat de Algemene Verordening Gegevensbescherming (de GDPR ) net inhoudt. Daarnaast kan u reeds in dit stadium specifieke problemen of risico s aankaarten die spelen binnen uw organisatie. Deze worden dan verduidelijkt binnen het regelgevend kader, waardoor ook een begin van antwoord of oplossing kan worden geformuleerd. Juridische documenten Nadat u inzicht heeft gekregen in de inhoud van de GDPR en de datastromen in kaart werden gebracht (zie volgende pagina), kan overgegaan worden tot het nakijken of aanleveren van de nodige juridische documenten. Zo zal het register van verwerkingsactiviteiten op juridisch vlak gescreend worden, zal nagegaan worden of uw verwerkersovereenkomsten volstaan of worden deze opgesteld indien dit nog niet gebeurd is. Alle nuttige documenten worden opgevraagd en gescreend door onze advocaten gespecialiseerd in de materie. DPIA en DPO? Daarnaast krijgt u een juridisch advies omtrent de toepassing van bepaalde verplichtingen uit de GDPR. Moet u bijvoorbeeld een DPIA (Gegevensbeschermingseffectbeoordeling) opstellen? Moet een DPO (Functionaris voor Gegevensbescherming) worden aangesteld? Is het register voor verwerkingsactiviteiten verplicht of volstaat een vereenvoudigde versie? Stappenplan Door middel van een stappenplan krijgt u een duidelijk zicht op de belangrijkste actiepunten die u dient te ondernemen om deze regelgeving zo correct mogelijk te implementeren en zo schadevergoedingen, eventuele boetes of andere ingrijpende maatregelen vanwege de Gegevensbeschermingsautoriteit (Privacycommissie) te voorkomen. Een onderneming die niet in regel is, riskeert niet alleen reputatieschade bij klanten maar zal ook niet meer in overweging worden genomen als leverancier of als (onder)aannemer. Pagina 2 van 7

3 2. Processen: Verwerking van persoonsgegevens Audit datastromen Een belangrijke stap in het proces om aan de GDPR-regelgeving te voldoen, is te weten welke persoonsgegevens uw organisatie verwerkt. Voor alle gegevens die u verwerkt moeten bepaalde zaken inzichtelijk gemaakt worden: Welk soort gegevens worden er verwerkt? Met welk doel worden de gegevens verwerkt? Wat houdt de verwerking van de gegevens in? Waar worden de gegevens bewaard? Op welke manier zijn gegevens uit verschillende datasets met elkaar gekoppeld? In de audit waarbij er sessies georganiseerd worden met de verschillende stakeholders binnen uw organisatie, worden de nodige gegevens verzameld om een high-level inzicht van de gegevensverwerking binnen uw organisatie te krijgen. Dit inzicht is belangrijk om na te gaan aan welke eisen en verwachtingen de verwerkingen moeten voldoen om in overeenstemming te zijn met de GDPR-regelgeving. Na deze audit heeft u een antwoord op de hierboven gestelde vragen. Deze input kan integraal meegenomen worden in het Verwerkingsregister voor uw organisatie. Risico beoordeling en opstellen van het beleid Op basis van de uitkomst van de audit kijken we welke risico s de verwerking van persoonsgegevens binnen uw organisatie op de privacy van de betrokkenen kan hebben. Hiervoor wordt er een beleid en een stappenplan met concrete maatregelen, acties en prioriteiten opgesteld. Hieruit volgt een risicorapport dat duidelijkheid brengt rond de privacyrisico s binnen uw organisatie en de afwegingen die u als organisatie maakt. Dit rapport maakt integraal deel uit van de oplevering voor GDPR compliancy en toont aan dat u de juiste maatregelen genomen heeft voor de belangrijkste risico s op vlak van dataverwerking binnen uw organisatie. Analyse van de processen met verhoogd risico De processen die een risico vormen voor de privacy van de betrokkenen komen duidelijk in beeld tijdens de risicobeoordeling. Deze processen worden in detail aangepakt in een vervolgtraject waarbij er to-be processen met verbeteringstraject wordt opgemaakt. Welke maatregelen uw organisatie precies zal nemen volgt uit het beleid dat wordt opgesteld aan de hand van de risicobeoordeling. Deze acties zijn onder te verdelen in juridische, organisatorische, procesmatige en technische maatregelen. Pagina 3 van 7

4 3. Technisch: Beveiliging van persoonsgegevens Hoog niveau van beveiliging Wie de regels van de GDPR wil naleven moet zorgen voor een adequate beveiliging van (persoons)gegevens. Dat klinkt logisch en veel bedrijven nemen ook al bepaalde beveiligingsmaatregelen. In de eerste plaats wordt daarbij vaak gedacht aan een firewall en anti-virus. Maar naast deze technische beveiliging is er echter nog een menselijk aspect aan beveiliging van data. U kunt namelijk uw omgeving achter 1000 firewalls zetten, maar als iemand van binnen de organisatie een export maakt en een Excel met persoonsdata doormailt heeft u daar weinig aan. Managed firewall, managed anti-virus en continuïteit Bescherm uw netwerk tegen risico s van buitenaf én van binnenuit door een (managed) firewall. Een up to date anti-virus pakket is in deze tijden uiteraard ook onontbeerlijk. Daarnaast voorkomt u best de uitval van systemen. Monitor en log de activiteiten op het netwerk en zorg ervoor dat u snel weer aan de slag kan als het noodlot toch toeslaat (backup en business continuïteit). Extra technische beveiligingen Naast de meer gekende technologische oplossingen zijn er nog tal van extra beveiligingsopties. Denk daarbij aan bijvoorbeeld 2 Factor Authenticatie, Advanced Threat Protection, data encryptie, USB port lock, enz. Wij zorgen ook voor monitoring en detectie. U hebt immers meldingsplicht van datalekken en dus moet u ook weten of/ wanneer er data gelekt werden. Een duidelijk beveiligingsbeleid Er moet in uw bedrijf een Security plan zijn. Wat mag wel en wat mag niet m.b.t. security. Logins en paswoorden moeten regelmatig vernieuwd worden. Wat moet er gebeuren als een medewerker uit dienst gaat. Wie mag welke rechten hebben. Traceerbaarheid van handelingen. Wie kan aan welke gegevens en kan ze kopiëren, downloaden en verwijderen. Wordt een pc gelockt als de medewerker niet op zijn plaats zit. Paswoorden mogen niet rondslingeren Enz. Pagina 4 van 7

5 GDPR intro pakket Met dit pakket krijgt u een eerste indruk van wat GDPR is en wat de potentiële risico s zijn voor uw onderneming. U zal beter kunnen inschatten welke stappen er genomen moeten worden en u kan bepalen of u deze stappen zelfstandig wil nemen of de hulp van onze experten nodig heeft Wat zit er in dit pakket? 1. Awareness sessie voor stakeholders Monard Law Sessie van 2 uur Audit verwerking en datastromen van persoonsgegevens Userfull Technische security audit (inventarisatie) Accel Sessie van 4 uur 500 Bekijk ook het uitgebreide GDPR start pakket (volgende pagina). Contracten Processen Security Contact ben.hermans@monardlaw.be info@userfull.be contact@accel.be Pagina 5 van 7

6 GDPR start pakket In het GDPR start pakket zitten alle elementen die u ook terugvindt in het GDPR intro pakket. Deze worden echter nog uitgebreid met concrete adviezen op juridisch en technisch gebied Wat zit er in dit pakket? 1. Awareness sessie voor stakeholders Monard Law Sessie van 2 uur Audit verwerking en datastromen van persoonsgegevens Userfull Risicobeoordeling en opstellen van het beleid Userfull Juridische audit Monard Law 1 dag (afhankelijk van business) Technische security audit (inventarisatie) Accel Sessie van 4 uur Functionele security audit (aanbevelingen /verbetervoorstellen) Accel 1 dag (afhankelijk van business) 850 Bekijk ook het GDPR intro pakket (vorige pagina). Contracten Processen Security Contact ben.hermans@monardlaw.be info@userfull.be contact@accel.be Pagina 6 van 7

7 Contact Ben.hermans@monardlaw.be Monard Law is de ideale partner om u bij te staan bij alle aspecten rond de bescherming van persoonsgegevens en cybersecurity. Onze dienstverlening richt zich in eerste instantie op het begeleiden van uw onderneming bij de implementatie van de Algemene Verordening Gegevensbescherming (de GDPR ). Monard Law biedt u hiervoor een duidelijk stappenplan aan dat u toelaat om volledig conform de wet te opereren. Zo vermijdt u niet alleen boetes maar ook reputatieschade of omzetverlies. Een bredere kijk op het wetgevend kader laat ons toe niet enkel de GDPR onder de loep te nemen maar ook alle geldende Belgische regelgeving af te toetsen. Ook andere Europese wetgevende initiatieven (NIS-richtlijn, ontwerp van eprivacyverordening, ) worden niet vergeten info@userfull.be Als IT-integrator nemen wij de zorgen weg van organisaties en hun mensen zodat beiden zich kunnen focussen op hun core business/ doelstellingen. We doen dit door technologie te integreren op een mensgerichte en strategische wijze. Als primair aanspreekpunt aligneren we verschillende benodigde partijen en hun visie tot een efficiënte oplossing. We ondersteunen dit door een sterk mensgericht team van: Business Alignment Architecten Project, Change & Risk Management Technische experten contact@accel.be Accel biedt specifieke IT-service oplossingen voor KMO s aan, waarbij het systeembeheer en de IT-support geheel of gedeeltelijk uitbesteed wordt aan ons team van specialisten. Zo kan u altijd op beide oren slapen. Wij zorgen ervoor dat uw IT veilig is blijft werken! Daarnaast voert Accel projecten uit ter uitbreiding of verbetering van de IT-infrastructuur bij KMO s. Wij maken uw IT-omgeving veiliger en makkelijk beheer(s)baar. Pagina 7 van 7