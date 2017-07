1 Categoriseer data

De GDPR geldt niet alleen voor gegevens die je opslaat zodra de wetgeving is ingegaan, maar voor alle data. Zelfs historische en gearchiveerde data valt eronder. Daarom is het belangrijk een zo gedetailleerd mogelijke inventarisatie te maken van de gegevens die je verwerkt en opslaat. Bepaal hoe privacygevoelig deze data is, doe een gedegen risicoanalyse en tref per datacategorie passende beveiligingsmaatregelen om aan de nieuwe wetgeving te voldoen. Bedenk ook vooraf wat je doet mocht er onverhoopt een keer iets foutgaan. Je moet namelijk kunnen aantonen dat je er alles aan hebt gedaan om de gevolgen van een incident te beperken.

2 Bewaartermijn

Je mag alleen persoonlijke gegevens opslaan die je ook echt nodig hebt. Onder de GDPR is het begrip persoonsgegevens bovendien flink verruimd. Alle gegevens die mogelijkerwijs tot een persoon zijn te herleiden, vallen eronder. Dus niet alleen een naam, IP-adres, of telefoonnummer, maar bijvoorbeeld ook unieke apparaat-ID's en bepaalde cookies. Daar komt nog bij dat zodra je bepaalde persoonsgegevens niet meer nodig hebt, je ze niet mag bewaren. Dus moet je actie ondernemen om die data op te ruimen. Personen kunnen om inzage in hun eigen gegevens vragen. Ook kan verzocht worden om de data te verwijderen, het zogenaamde recht om vergeten te worden. Denk dus goed na over de levenscyclus van data.

3 Gegevens verwijderen

Gegevens die je niet of niet meer mag hebben moet je verwijderen. Belangrijk is dat dit op de juiste wijze gebeurt. Allereerst moet je weten welke gegevens je nodig hebt en voor welke gegevens je expliciet toestemming van betrokkenen nodig hebt. Vervolgens moet je bijhouden hoelang je die persoonlijke gegevens nodig hebt. Verwijderen moet grondig gebeuren. Zijn er misschien meerdere kopieën van de data aanwezig, hoe zit het met back-ups en archieven? Denk goed na welke werknemers hiervoor geautoriseerd zijn. Het gaat om het permanent verwijderen van bedrijfsgegevens. Eenmaal vernietigd is er geen weg terug. Data kan mogelijk ook geaggregeerd en geanonimiseerd worden, waarna het niet meer onder de GDPR valt.

4 Toegang door derden

Je bent niet alleen verantwoordelijk voor de data die je zelf gebruikt en opslaat. Ook data die je toegankelijk maakt voor derden waarmee je bijvoorbeeld samenwerkt valt nog steeds onder jouw verantwoordelijkheid. Het is daarom essentieel dat je alleen de juiste data met de juiste partijen deelt. Inventariseer dus welke data allemaal door derden is in te zien. Gaat het echt om data die noodzakelijk is gezien de te verrichten werkzaamheden? Kan data ook door anderen gewijzigd worden, welke gegevens zijn het en zijn ze echt nodig? Stel heldere policies op gebaseerd op whitelists en blacklists voor een veilige en betrouwbare samenwerking.

5 Ondersteuning voor eDiscovery

De GDPR-wetgeving is zeer streng, er kunnen hoge boetes opgelegd worden en zelfs een strafrechtelijk onderzoek is mogelijk. Je mag alleen persoonlijke gegevens vastleggen die je daadwerkelijk nodig hebt, waar je expliciet toestemming van de betrokkenen voor hebt gekregen en je mag gegevens alleen bewaren zolang je ze nodig hebt. Genoeg redenen om heel precies bij te houden wat er allemaal met data gebeurt gedurende de levenscyclus. Wie hebben er wanneer toegang toe, wie past data aan, wie gooit ze weg, welke externe partijen kunnen er in welke periode bij en met welke toegangsrechten. Door het automatisch vast te leggen is altijd te achterhalen wie ergens wanneer bij kon en wat er allemaal met de data is gebeurd. Daarmee is meteen ook eDiscovery mogelijk.

6 Beveiligen van apparatuur

Door gegevens centraal in de cloud of op eigen servers op te slaan, deze te versleutelen en de juiste toegangsrechten in applicaties en apps aan gebruikers toe te kennen, blijft de data ontoegankelijk voor onbevoegden. Lokale opslag kan het beste helemaal voorkomen worden en anders moet ook die data encrypted zijn. Denk aan externe schijven, usb-sticks, maar ook aan verzending via bijvoorbeeld e-mail. Apparatuur zoals computers, tablets en smartphones, moet daarnaast voorzien zijn van een toegangscode of een andere (biometrische) beveiligingsmethode. Bij verlies of diefstal moet een apparaat op afstand gewist kunnen worden. Mobiele applicaties zijn het veiligst als data op een centrale locatie benaderd wordt en niet lokaal is opgeslagen.

7 Compliancy

Wetgeving is eigenlijk altijd complex en soms is het lastig om de juiste interpretatie te achterhalen. Het is natuurlijk wel van belang dat je de juiste maatregelen treft om de data doeltreffend te beschermen. Maak het jezelf niet te makkelijk, maar zeker ook niet te moeilijk door maatregelen te nemen die helemaal niet op jouw bedrijf van toepassing zijn. Verdiep je dus in de GDPR en let met name op wat voor jouw specifieke bedrijfstak van toepassing is. Zodat je goed onderbouwd de juiste acties kunt uitzetten om aan de wetgeving te voldoen. Schakel eventueel externe hulp in, bijvoorbeeld een ervaren partij voor de juiste interpretatie van de GDPR. Onderzoek ook welke tools en hulpmiddelen er zijn waarmee je met relatief weinig inspanning al meteen aan de GDPR voldoet. Denk aan centrale opslag, veilig delen en automatisch auditen van al je documenten.

Kijk hier hoe je veel problemen voorkomt met Box