GDPR geen ICT-feestje

De opvolger van de meldplicht datalekken komt eraan. In mei 2018 wordt namelijk de General Data Protection Regulation, ook wel de GDPR genoemd, van kracht.

In deze uitgebreide wetgeving staan de rechten van het individu centraal. Mensen kunnen straks meer inzicht en zeggenschap over hun gegevens uitoefen. Ook nadat ze je toestemming hebben gegeven voor het opslaan en gebruiken van die gegevens. Alle organisaties die persoonsgegevens van mensen uit Europa vastleggen of bewerken vallen onder deze wet. En let wel, IP-adressen worden in deze context al als persoonsgegevens gezien. Vrijwel iedereen gaat er dus mee te maken krijgen en wie zich niet aan de wet houdt loopt het risico op een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet. Net welke van die twee hoger is.

Meer dan ICT

Doordat deze wet gaat over data privacy hebben veel organisaties het idee dat dit al door IT wordt afgedekt. Hoewel IT zeker nodig is om te kunnen voldoen aan deze wetgeving gaat de GDPR veel verder dan de IT-afdeling. Je zult IT zeker nodig hebben om te helpen met het inrichten van processen, het aanpassen van systemen om ‘privacy by design’ in te richten en het in werking stellen van de administratieplicht.

Uiteraard heb je intensief opgeleide mensen nodig die door training exact weten waaraan je moet voldoen en hoe je compliancy procesmatig kan inrichten. Maar er zijn nog veel meer mensen die met data werken. En die zijn zich vaak meer bewust van de mogelijkheden dan van de risico’s.

Alle afdelingen doen mee in de GDPR-dans

Marketing, HR en verkoop beschikken over het algemeen ook over veel persoonsgegevens in verschillende processen. Het is van belang dat iedereen die data verwerkt op de hoogte is van de voor hem of haar relevante stukken van de wet. Zeker omdat dit vaak ook afdelingen zijn die veel mogelijke toepassingen voor data zien en daar dus graag mee experimenteren. Het is van belang dat die afdelingen weten wat ze wel en niet kunnen doen en waartoe zij als bewerker verplicht zijn. Want uiteindelijk moet je je borging op alle niveaus aan kunnen tonen, om te voldoen aan de wetgeving.

bron: www.security-kennis.nl