data_center (1).pngGeneral data Protection Regulation (GDPR)

Waarover gaat het?

‘Data’ moet hier vertaald worden naar persoonsgegevens. De GDPR is de nieuwe privacy-wetgeving en die beschermt de privacy, dus per definitie persoonsgegevens.

Bedrijven en organisaties MOETEN er voor zorgen dat ze gegevens over personen enkel opslaan en gebruiken als dat nodig is. En indien dat nodig is voor de werking van de organisatie, dan MOETEN er ook aantoonbaar gepaste maatregelen worden genomen om er voor te zorgen dat die gegevens enkel worden gebruikt waarvoor ze nodig zijn en verder niet toegankelijk zijn. (Need to have / Need to know- basis, dus).

Waarom zouden we ons ongerust maken? Die gegevens beschermen we toch al naar best vermogen, al was het maar uit respect voor onze klanten, leveranciers, …, onze stakeholders dus zoals de ISO norm voor Risicobeheer het zo mooi noemt en beschrijft. (ISO 31000).

Europa wil echt wel dat iedereen er werk van maakt om gegevens en in dit geval persoonsgegevens op een professionele aantoonbare manier te beschermen, zo is wel duidelijk.

Wanneer iemand meent dat u dat als organisatie niet (goed) doet, dan moet u aantonen dat u dat wel doet. Kunt u dat niet, dan kunnen boetes tot 4% van uw omzet volgen?!?  Dat is dus een bedrijfsrisico dat u zeker best prioritair zal aanpakken. Niet?

U moet bovendien aantonen dat u dat continu meet en verbetert en dat u in uw processen inbedt dat persoonsgegevens alleen daar waar nodig worden gebruikt.

Zal het allemaal wel zo’n vaart lopen? Wel, het antwoord op die vraag moet u zeker vinden. Wij kunnen alvast helpen de eerste stap te zetten.

>>>> Contacteer ons <<<<

Hoe pakken we dat aan?

Het is dus een bedrijfsrisico dat de continuïteit bedreigt. Hierin zitten drie sleutelwoorden, nl. Bedrijf, Risico en Continuïteit! 

Dat u het moet aanpakken staat vast, maar laat ons als eerste stap trachten te achterhalen hoe groot de dreiging is en eens we dat weten, hoe groot de inspanning kan zijn om dat risico onder controle te krijgen. Met welk restrisico kunnen / willen we leven, waar moeten zeker maatregelen worden genomen, wat kunnen we verzekeren?

timeline GDPR plan.pngDe eerste stap: Zicht krijgen op de situatie: Analyse

GDPR sensitivity Risk Assessment

  1. Intake sessie: Uitleg aan de organisatie wat GDPR precies is en juridische kadering van de risico’s.
    1. In deze stap maken we kennis met de organisatie en haar leiders en leggen we uit wat GDPR inhoudt en wat de impact kan zijn
    2. We organiseren een workshop met c-level en key managers
    3. … en bespreken de hoofprocessen en top dataflows
  2. Op basis van deze workshop maken we een voorstel van project scope: plan, budget & team

GDPR Maturiteitsonderzoek

Voor het maturiteitsonderzoek worden de belangrijkste bedrijfsprocessen verder uitgediept om te achterhalen wat er in diverse domeinen van de organisatie nodig is om GDPR-ready te worden.

Naast de hoofdstromen van informatie diepen we hierin uit hoe ondersteunende diensten (Finance, Legal, training, HR, …) omgaan GDPR-gevoelige informatie.

We pijlen naar wat er vandaag al gebeurt in de organisatie en hoe ver dat afstaat van wat nodig is. (voornamelijk interviews en waarneming ter plaatse).

  1. Interviews & analyse
    1. We maken afspraken met sleutelpersonen in de organisatie voor de eerste analyse
    2. Analyse van de bedrijfsprocessen om te achterhalen wat het bedrijf doet en welke privacy-gevoelige informatie daarbij nodig is nu en in de toekomst.
    3. High-level Dataflow analyse
  2. Waardering van het risico op basis van juridische en procesgegevens.
  3. Assessment-rapport met voorstel van plan van aanpak in verhouding met de risicowaardering.
    1. In welke processen zijn er risico’s? Hoe groot is het risico?
    2. Hoe wordt er vandaag omgegaan met de persoonsgegevens?
  4. Presentatie/discussie met bedrijfsleiders.

Tweede stap: Ontwerp : GDPR Plan van aanpak

Eens we een goed zicht hebben op de organisatie en haar GDPR-gevoeligheid en hoe matuur de organisatie daar vandaag mee omgaat, kunnen we een plan van aanpak op maat van het risico opstellen. Een ding staat al zeker vast, de aanpak vraagt een multidisciplinair team!

De ingrediënten van de oplossing / nodige skills zijn:

  1. Bedrijfsanalyse / Procesanalyse / Begrip van essentie
  2. Gedetailleerd /expert juridisch inzicht in de materie
  3. Doorgedreven Kennis van Risicobeoordeling en beheer
  4. Business Continuity – ervaring / Business Impact analyze
  5. Expert ICT systemen kennis op vlak van technisch beveiliging (ISO 27001, …)
  6. GDRP inbedden in de (bestaande) Risicobeheer processen / Business Continuity-processen.
  7. Bekwame projectleiding die op alle niveaus aansluiting vindt
  8. Awareness programma’s, mogelijk en waarschijnlijk.

Radar Risk is een netwerk van specialisten die elk hun expertise hebben, maar ook hebben leren samenwerken om de bedrijfsbelangen te dienen eerder dan de bezorgdheden binnen het eigen expertise domein.

Dat is ook de sleutel tot succes in het GDPR verhaal. Het hele team werkt in het kader van het risico.

Derde stap: Implementatie Verbeteringsproject

Om het plan van aanpak in uitvoering te brengen is volharding en vooral een goed begrip van de inhoud en de betrokken personen nodig. We begeleiden het project met kennis van zaken, inzicht in de essentie en in relatie met de risico’s, maar ook volgens kwaliteitsnormen van projectbeheer. Bezield en bezeten projectmanagement komt maar voor wanneer de betrokkenheid van de projectleider groot is en de heel diverse disciplines begrijpt. Rijp en wijs, met de voeten op de grond, dus.

Onze projectleider staat nooit alleen, maar wordt continu ondersteund door het team van experten.

Naast projectleiding, zijn onze experten ter beschikking om diverse aspecten uit te diepen tijdens het project:

  1. Dataflow analyse detail: persoonsgegevens: wie heeft toegang, van waar naar waar loopt die informatie, waarom is die nodig, ..
  2. Informatiebeveiligingssystemen
    1. Assessment
    2. Penetration testing
    3. Consistency, Integrity, (Availability) report
  3. Continuity
    1. Wat te doen bij een breach, … (meldingsplicht, …)
  4. Juridische expertondersteuning
    1. Compliance with GDPR
    2. Advise on improvements and priority
    3. Assess impact
    4. Ontwerp van contractuele bepalingen

Vierde stap : Monitor & Review

Eens het GDPR-programma/proces in werking (geheel of gedeeltelijk), doen we op afgesproken tijdstippen audits om te toetsen of de afspraken / noodzakelijkheden van het programma nog/al worden nageleefd en waar het beter kan.

We toetsen een tijdens de implementatiefase opgestelde lijst van checkpoints en we doen dat partieel, maar geregeld, zodat de focus warm blijft.

Tags