Heb jij 25 mei 2018 al gemarkeerd in je agenda? De GDPR-regelgeving is nou niet meteen iets om naar uit te kijken. Maar je kunt het wel zien als een stok achter de deur om aandacht te besteden aan wat waarschijnlijk je allerbelangrijkste bezit is: je data. Data is de levensader van je organisatie – data staat voor de mensen die je in dienst hebt en die data laten floreren, en voor de klanten die je bedient. De ernstige datalekken van 2017 toonden aan hoe kwetsbaar deze data en mensen daadwerkelijk zijn. De GDPR is de wake-upcall die we nodig hebben om ons te realiseren dat het onze verantwoordelijkheid is om de privacy van mensen te beschermen. Kortom, dé kans om te laten zien hoe waardevol ze voor jou als organisatie zijn.
De meeste organisaties zijn inmiddels goed op weg met het implementeren van de benodigde processen en securitymaatregelen. De periode die nu nog voor ons ligt, is precies de tijd die je nodig hebt om jouw vooruitgang te controleren.
Vijf reminders:
1. Leg de relatie met je (applicatie)leveranciers eens onder de loep. Beschermen zij de data die ze voor jou verwerken? Op welke manier brengen ze jou op de hoogte in geval van een datalek? En stel dat je data in een cloudapplicatie wordt gebruikt, dan is het ook zaak eens in gesprek te gaan met de leveranciers van je cloudapplicaties.
2. Overweeg of je een Data Protection Officer (DPO) moet aannemen. Zo iemand neemt de verantwoordelijk voor compliancy op het gebied van databescherming binnen jouw organisatie.
3. Breng je data in kaart. Misschien ontdek je wel data waarvan je het bestaan niet wist. Check onze The Need To Inventory Personal Data-handleiding om oplossingen te vinden die je hierbij kunnen helpen.
4. Ga na hoe goed je je dataflows in kaart hebt gebracht. Van organisaties wordt verwacht dat ze niet alleen weten waar data is opgeslagen, maar ook waar deze wordt gebruikt en overgedragen. Onze handige Data Flow Mapping and Control-handleiding behandelt de regelgeving en biedt een aantal tips.
5. En áls het ondenkbare dan gebeurt, moet je binnen een strikte tijdsspanne actie ondernemen en herstellen van een datalek. Detect & Respond to a Data Incident legt uit hoe het NIST Cybersecurity Framework je in de juiste richting helpt.
Met deze reminders ben je er nog niet. Je toezichthouder heeft waarschijnlijk nog veel meer handleidingen om je mee op weg te helpen. Het Forcepoint GDPR Resource Pack helpt ook.
De GDPR en soortgelijke regelgeving zijn een serieuze zaak. Dat betekent echter niet dat je de GDPR moet omarmen simpelweg omdat het moet. Doe dat, omdat jíj dat wilt.
