GDPR & uw data in de Cloud

05-12-2017

Elke organisatie heeft te maken met privacygevoelige informatie. Daarom is het goed om voorbereid te zijn op de General Data Protection Regulation (GDPR) die vanaf 25 mei 2018 in werking treedt. De GDPR, in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), is een Europese wet die voorschrijft hoe bedrijven met alle data van alle Europese burgers moeten omgaan.

Bij de meeste bedrijven is er echter nog veel onduidelijkheid over deze nieuwe wetgeving. Waar moet u wel en niet aan voldoen? Wat is de impact ervan op uw bedrijfsvoering? Hoe gaat u om met uw data in de Cloud?

Onlangs organiseerde INISI ICT, in samenwerking met Microsoft, Van Iersel Luchtman Advocaten, BMgrip en Debble, een seminar over dit onderwerp. Veel belangstellenden kwamen naar het Zalmhuis in Rotterdam om zich te laten informeren over de juridische, beleidsmatige en technologische aspecten van de nieuwe wetgeving.

Juridisch kader

De GDPR heeft betrekking op alle informatie die gerelateerd is aan persoonsgegevens en is van toepassing op alle natuurlijke en rechtspersonen die persoonsgegevens verwerken. Belangrijke aspecten op juridisch vlak zijn: de privacyverklaring, de verwerkersovereenkomst, het verwerkingsregister en een geldige verwerkingsgrondslag.

Daarnaast zijn er enkele bijzondere verplichtingen zoals het aanstellen van een Functionaris Gegevensbescherming en het uitvoeren van een zg. gegevensbeschermingseffectbeoordeling (ook wel Privacy Impact Assessment of PIA genoemd). Of deze bijzondere verplichtingen voor u van toepassing zijn, hangt af van de aard en de omvang van uw bedrijfsvoering.

Indien u als verantwoordelijke persoonsgegevens in de cloud opslaat, bent u verplicht een verwerkersovereenkomst te sluiten. De clouddienstverlener is in die situatie in beginsel verwerker. U mag echter geen verwerkers inschakelen die niet afdoende garanties kunnen geven met betrekking tot de getroffen technische en organisatorische maatregelen. Het niveau van deze maatregelen hangt af van de gevoeligheid van de verwerkingen.

Beleidsmatig kader

Bij een AVG implementatie komt heel wat kijken. Het is daarom belangrijk om het hanteerbaar te maken. Dit kunt u doen door te kiezen voor een integrale aanpak die bestaat uit vijf stappen.

  • Stap 1: bepaal welke persoonsgegevens waar worden bewaard en waarom;
  • Stap 2: doe een IT-scan die u inzicht geeft in de kwetsbaarheden van uw IT-infrastructuur;
  • Stap 3: breng de risico’s in kaart en zorg voor samenhangende tools voor vastlegging en verantwoording;
  • Stap 4: neem concrete maatregelen en maak uw medewerkers bewust van hun rol hierin;
  • Stap 5: laat een audit uitvoeren door een externe auditor (optioneel). 


Technologisch kader

De GDPR dwingt bedrijven de beveiliging van hun IT-infrastructuur goed op orde te hebben. Focus hierbij op de belangrijkste zaken:

  • Zorg voor veilige toegang tot uw data;
  • Neem de juiste end-point security-maatregelen;
  • Bescherm uw infrastructuur tegen bedreigingen;
  • Houd uw systemen up-to-date;
  • Creëer inzicht en houd controle.

Daarnaast helpt de cloud om zaken te vereenvoudigen. Elke cloud-provider is immers verplicht om zijn omgeving op orde te hebben. Het is echter wel belangrijk om te verifiëren of dit daadwerkelijk zo is.

Meer weten over het onderwerp?

INISI ICT biedt in samenwerking met Microsoft en BMgrip een GDPR assessment, waarmee u inzicht krijgt in de mate waarin u voldoet aan de GDPR en welke aanvullende maatregelen u eventueel nog dient te nemen. U kunt hiervoor contact opnemen met Bart Bossers, tel. 010-4368822 of per e-mail: bart.bossers(at)inisi.com.

 

Overige berichten