Zoals u inmiddels ongetwijfeld weet, gaan er binnenkort een aantal zaken veranderen omtrent privacywetgevingen. Met de introductie van de GDPR zijn organisaties die in het bezit zijn van persoonlijke data van Europese burgers verplicht om zorgvuldig om te gaan met deze persoonlijke gegevens. Dit heeft mogelijk consequenties voor uw infrastructuur. In deze blog leggen we u uit wat deze gevolgen precies inhouden.
De GDPR is in het leven geroepen om ervoor te zorgen dat organisaties hun databeheer op orde hebben, zodat de privacy van Europese burgers beter kan worden gewaarborgd. Voor organisaties die geen toereikende richtlijnen, protocollen en technologieën hebben voor het beschermen van persoonsgegevens, betekent dit dat er werk aan de winkel is. Helaas vertelt de GDPR u niet welke technologieën u wel en niet moet aanschaffen. Wel worden er instructies gegeven voor de manier waarop u uw infrastructuur moet inrichten. Er wordt hierbij uitgegaan van de termen ‘privacy by design’ en ‘privacy by default’.
Privacy by design
Met privacy by design wordt bedoeld dat organisaties bij het implementeren van nieuwe services en en bedrijfsprocessen, actief na moeten denken over het beveiligen van persoonlijke data. Organisaties moeten aan kunnen tonen dat de beveiliging op orde is en dat de naleving van beveiliging wordt gecontroleerd. Dit houdt in de praktijk in dat IT-afdelingen, bij de ontwikkeling van nieuwe producten of diensten, in iedere processtap moeten beoordelen of de veiligheid van persoonsgegevens gewaarborgd is.
Privacy by default
Privacy by default geldt voor ieder product of dienst waarbij gebruikers zelf de mogelijkheid hebben om persoonsgegevens te delen of af te staan. Het concept van privacy by default verplicht organisaties om de privacy van gebruikers in deze situaties te beschermen door de instellingen en functies van de producten of diensten standaard (by default) op de meest privacy-vriendelijke stand te zetten. Dit betekent dat er om toestemming moet worden gevraagd voordat persoonsgegevens gedeeld worden en dat er niet meer persoonsgegevens worden gevraagd dan noodzakelijk.
Voldoen uw technologieën en processen aan de nieuwe regels?
Met de principes van privacy by design en privacy by default verplicht de GDPR organisaties dus om gebruik te maken van technologieën en processen die een veilig gebruik van persoonlijke data kunnen garanderen.
Maar wat kunt u concreet doen om dit te realiseren?
Allereerst moet de IT-infrastructuur op een transparante manier zijn ingericht, zodat altijd duidelijk is waar welke persoonlijke data is opgeslagen. Een ander aandachtspunt is het elimineren van shadow IT, zodat wordt voorkomen dat personeel op een niet-goedgekeurde manier met persoonlijke data omgaat. Een voorbeeld van Shadow IT is het gebruiken van persoonlijke, niet gelicenseerde software voor het opslaan en verzenden van klantdata.
Verder is het aan te raden om gebruik te maken van beveiligingsoplossingen die verdachte gebeurtenissen vroegtijdig kunnen detecteren en hierop kunnen reageren. Ook het installeren van systemen die gebruikmaken van data-encryptie is erg belangrijk. Dit zorgt er namelijk voor dat informatie onherkenbaar wordt gemaakt, waardoor wordt voorkomen dat onbevoegden de gegevens kunnen gebruiken. Daarnaast moet al uw software die gebruikmaakt van persoonlijke data in staat kunnen zijn om deze data permanent te verwijderen.
Zo krijgt u een compleet beeld
De hierboven genoemde oplossingen zijn enkele richtlijnen voor een juiste invulling van uw infrastructuur. Om een compleet beeld te krijgen van de benodigde aanpassingen, raden wij u aan om in gesprek te gaan met een specialist. Joheco kan u hierbij helpen door samen te kijken hoe u uw IT-omgeving voor kunt bereiden op de nieuwe situatie.
Wilt u zelf alvast uw GDPR-voortgang checken? Vink deze checklist af en kom er binnen vijf minuten achter welke punten u kunt afvinken en welke punten nog wat extra aandacht vereisen.
{{cta('530094c1-416e-4d14-a93e-873529e9e29a')}}