Handvatten voor de GDPR/AVG

 

Maakt jouw organisatie ook gebruik van Software as a Service (Saas) via een van de vele cloudproviders en denk je dat je daarmee alle beveiligingsmaatregelen uitbesteed hebt? Als verwerker van gegevens en data is jouw organisatie verantwoordelijk voor de inrichting van de veiligheidsprocedures en -processen. Het helpt als iemand is aangewezen als zogenaamde Data Protection Officer, maar hoe ga je die helpen de juiste stappen te nemen en hoe controleer je of je veilig genoeg omgaat met gegevens en data?

Om te beginnen helpt het je enorm als je inzicht hebt in welke data belangrijk is voor je bedrijfsvoering. Dit komt voort uit een afdoende beschrijving van de processen en de bijbehorende informatievoorziening.

Omdat het verlies van data op strategisch niveau letterlijk voor eigen risico is zou dat een eerste prioriteit moeten hebben. Immers, daar verdien je (of verlies je) geld. Met de invoering van de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG), zoals de wet in Nederland genoemd wordt, is er een ander financieel risico toegevoegd aan onvoldoende gegevensbescherming. Die van hoge boetes.

Nu zijn er het afgelopen jaar vele aanbieders van diensten gekomen die zich richten op het waarschuwen voor die boetes en dat zij degene zijn die ervoor kunnen zorgen dat je die boetes niet krijgt. Ik ga hier zeker niet beweren dat die partijen geen gelijk hebben of dat ze niet nodig zouden zijn, maar elke organisatie is zelf verantwoordelijk voor de inrichting van de eigen informatievoorziening en daar hoort beveiliging ook bij.

Als je weet wat je verantwoordelijkheden zijn en wat je moet regelen is het natuurlijk altijd te overwegen externe kennis binnen te halen om ervoor te zorgen dat de maatregelen goed opgesteld en uitgevoerd worden.

Om het simpel te houden zie je hieronder een overzicht van wat geregeld moet worden binnen de GDPR en of je dat als organisatie zelf moet doen of dat de cloudprovider hier een rol bij speelt. Het spreekt voor zich dat wanneer jouw organisatie een eigen IT omgeving beheert je zelf verantwoordelijk bent voor de uitvoering.

Mocht je er zelf mee aan de gang zijn gegaan en kun je hulp gebruiken, neem dan gerust contact op. Wij zullen geheel vrijblijvend kijken wat de status is en waar je nog stappen moet maken.