Werken in de cloud en toch voldoen aan de GDPR


In de cloud werken en toch voldoen aan de vereisten van de GDPR, is dat mogelijk? Jazeker, en het is zelfs minder ingewikkeld dan u zal denken. In deze blog hebben wij vier stappen gekoppeld aan verschillende oplossingen zodat u voor 25 mei 2018 klaar bent. Deze nieuwe wet bevat nieuwe, nog strengere regels voor het verzamelen, opslaan en gebruiken van persoonlijke informatie. Onderdelen van de GDPR waar u rekening mee moet houden zijn:

  • Het identificeren en beveiligen van persoonlijke gegevens verspreid over verschillende systemen
  • U moet transparanter zijn over wat u met de gegevens gaat doen
  • Detecteren en rapporteren van inbreuk op persoonsgegevens
  • Het trainen van werknemers

Het is aan te raden om uw privacy- en gegevensbeheerpraktijken nu te herzien, zodat er stappen kunnen worden ondernomen om aan deze nieuwe verordening te voldoen, voordat deze in mei 2018 van kracht wordt. Organisaties die niet voldoen aan de vereisten en verplichtingen kunnen worden geconfronteerd met aanzienlijke boetes en de bijbehorende reputatieschade. We raden aan om te beginnen met u te concentreren op vier belangrijke stappen.

Ik heb verschillende oplossingen gekoppeld aan deze stappen om u te helpen, zodat u voor 25 mei 2018 klaar bent. Deze vier stappen zijn:

GDPR_4-stappen.png

Stap 1: Identificeren

De eerste stap bij het voldoen aan de eisen van de GDPR is om te beoordelen of de GDPR op uw organisatie van toepassing is, en zo ja, in welke mate. Deze analyse begint met inzicht in welke gegevens u binnen uw organisatie heeft en waar deze zich bevinden. De GDPR heeft betrekking op het verzamelen, opslaan, gebruiken en delen van alle soorten 'persoonlijke gegevens'. Persoonlijke gegevens worden zeer ruim gedefinieerd onder de GDPR: het zijn alle soorten gegevens die betrekking hebben op een geïdentificeerd, of identificeerbare, natuurlijke persoon.

Als uw organisatie dergelijke gegevens heeft (in klantendatabases, e-mailadressen, foto's, video-opnames, ingevulde feedbackformulieren, aanmeldingen voor loyaliteitsprogramma's, personeelsdatabases of elders), dan moet u zich houden aan de GDPR. Om te begrijpen of de GDPR van toepassing is op uw organisatie en, als dat het geval is, welke verplichtingen dit met zich meebrengt, is het belangrijk om de gegevens van uw organisatie te inventariseren. Dit zal u helpen te begrijpen welke gegevens te koppelen zijn aan een persoon. Daarnaast geeft het u inzicht waar die gegevens worden verzameld en opgeslagen, waarom deze worden verzameld, hoe ze worden verwerkt en gedeeld en hoelang ze worden bewaard.

Stap 2: Beheren

De GDPR geeft betrokkenen - personen aan wie de gegevens gerelateerd zijn - meer controle over hoe hun persoonlijke gegevens worden vastgelegd en gebruikt. Het effectief beheren van deze gegevens omvat zowel gegevensbeheer als gegevensclassificatie.

Gegevensbeheer

Om aan uw verplichtingen ten aanzien van betrokkenen te voldoen, moet u weten welke soorten persoonsgegevens uw organisatie verwerkt, hoe uw organisatie dergelijke gegevens verwerkt en voor welke doeleinden. De eerder besproken gegevensinventarisatie is een eerste stap in deze richting. Zodra de inventaris is voltooid, is het ook belangrijk om een gegevensbeheerplan te ontwikkelen en te implementeren. Een gegevensbeheerplan kan u helpen bij het definiëren van beleid, rollen en verantwoordelijkheden voor de toegang tot, en het beheer en gebruik van, persoonlijke gegevens en kan u helpen om ervoor te zorgen dat uw procedures voor gegevensverwerking voldoen aan de GDPR.

Gegevensclassificatie

Gegevensclassificatie is een belangrijk onderdeel van elk gegevensbeheerplan. Het toepassen van een classificatieschema dat in uw hele organisatie van toepassing is, kan bijzonder nuttig zijn om te reageren op verzoeken van betrokkenen. Hiermee kunt u gemakkelijker identificeren en verzoeken gemakkelijker verwerken.

CTA GDPR Stappenplan

 

Stap 3: Beveiligen

Organisaties begrijpen steeds meer het belang van informatiebeveiliging, mede door de ransomware-aanvallen met Petya en Wannacry. De GDPR legt de lat echter nog hoger. De nieuwe wet vereist dat uw organisatie passende technische en organisatorische maatregelen neemt om persoonlijke gegevens te beschermen tegen verlies, ongeoorloofde toegang of openbaarmaking. De Microsoft-cloud is speciaal ontworpen om u te helpen risico's te begrijpen en u daartegen te beschermen, en is op vele manieren veiliger dan on-premises computeromgevingen. De datacenters van Microsoft zijn bijvoorbeeld gecertificeerd volgens internationaal erkende beveiligingsstandaarden. Ze worden beschermd door 24-uurs fysieke bewaking en hebben strikte toegangscontroles. Wij hebben verschillende oplossingen en beveiligingsfuncties, zowel in de cloud als op locatie, die u kunnen helpen om uw gegevens te identificeren, te beheren en te beveiligen.

Overzicht van 4 stappen gekoppeld aan oplossingen waarmee wij kunnen helpen

GDPR Productmap.png

Stap 4: Rapporteren

De GDPR hanteert nieuwe normen op het gebied van transparantie, verantwoording en archivering. U dient transparanter te zijn: over hoe u met persoonlijke gegevens omgaat, maar ook over hoe u de documentatie bijhoudt waarin de processen en het gebruik van persoonlijke gegevens is gedefinieerd. Organisaties die persoonsgegevens verwerken, moeten bijhouden wat de doeleinden van deze verwerking zijn; welke categorieën persoonsgegevens zij verwerken; wat de identiteit is van derden met wie gegevens worden gedeeld; of (en welke) organisaties in andere landen persoonsgegevens ontvangen en de rechtsgrondslag van dergelijke overdrachten; organisatorische en technische veiligheidsmaatregelen; de bewaartijden van gegevens die van toepassing zijn op verschillende datasets. Een manier om dit te bereiken, is door gebruik te maken van controletools. Deze kunnen helpen om ervoor te zorgen dat elke verwerking van gegevens - of het nu gaat om verzamelen, gebruiken, delen of anderszins - wordt vastgelegd en gevolgd.

New Call-to-action

Over Ons

Wij zijn dé ICT-professionals die nooit slapen, 24/7 de vinger aan uw bedrijfspols houden en anticiperen op potentiële risico’s. Vanuit ons Office Extensions Centre zorgen we dat uw informatie en communicatie-technologie voor u werkt, toegankelijk is en up-to-date blijft. Vlekkeloos. En altijd.