Van kracht sinds mei 2016, in uitvoering sinds mei 2018 - de EU General Data Protection Regulation (GDPR) laat veel bedrijven zich nog steeds afvragen: Hebben wij hiermee te maken? En zo ja: Hoe bereiken we rechtszekerheid? En wat kunnen we doen voor de naleving van de gegevensbescherming?
Loading...
Sinds mei 2018 moeten bedrijven die met persoonsgegevens omgaan - en dat zijn er nogal wat - bereid zijn een flinke fifine te vangen. De boetes voor datalekken kunnen aanzienlijk zijn. En dat is altijd het geval als ze niet volledig voldoen aan de eisen van de nieuwe GDPR. Bovendien vult de nieuwe versie van de Duitse federale wet inzake gegevensbescherming(BDSG) de GDPR aan en onderbouwt deze. Hier heerst echter overal onzekerheid:
- Wat zijn "persoonsgegevens" eigenlijk?
- Zijn wij een "verantwoordelijke entiteit" volgens de GDPR?
- Wie is een "betrokkene"?
- Wat houdt "geautomatiseerde verwerking" van persoonsgegevens precies in?
- Moeten we een functionaris voor gegevensbescherming aanstellen?
Welke maatregelen moeten worden genomen?
De lijst met vragen over de naleving van de gegevensbescherming die moeten worden behandeld, is lang.
Het is waar dat de definitie van de in de verordening gebruikte termen te vinden is in lijsten met veelgestelde vragen. Dit garandeert echter niet noodzakelijkerwijs duidelijkheid over de concrete betekenis voor de individuele onderneming. Uiterlijk bij de uitvoering en naleving van noodzakelijke (want vereiste) maatregelen en plichten door de werknemers moeten er de juiste antwoorden zijn op dergelijke vragen, bijvoorbeeld:
- Wat zijn "technisch-organisatorische maatregelen"?
- Wanneer zijn ze noodzakelijk?
- Hoe zit het met "proportionaliteit"?
- Hoe zit het met de vele "controles" die de GDPR vereist, zoals "controles op toegang of openbaarmaking"?
- Hoe kan de naleving van de gegevensbescherming worden gewaarborgd?
Gegevensbescherming versus informatiebeveiliging
In ieder geval is de juiste stap voor een getroffen bedrijf het opzetten van een effectief beheersysteem voor gegevensbescherming - afgestemd op zijn individuele behoeften, zo nodig al met het oog op een geaccrediteerde certificering.
Wat hier vaak wordt verward: Gegevensbescherming en informatiebeveiliging zijn twee paar schoenen, ook al zijn er overlappingen (bijvoorbeeld verschillende controlemaatregelen). Bedrijven die bijvoorbeeld beschikken over een volledig omvattend beheersysteem voor informatiebeveiliging (ISMS) overeenkomstig ISO 27001 dekken tot op zekere hoogte het onderwerp gegevensbescherming.
Maar zelfs hier blijft er een delta die met of zonder ISMS aan het licht kan worden gebracht en gedicht met behulp van een kloofanalyse.
"Het fundamentele verschil tussen de twee onderwerpen: Informatiebeveiliging beschermt de gegevens van een bedrijf tegen misbruik door derden; gegevensbescherming is gericht op de bescherming van persoonsgegevens."
In augustus 2019 wordt met ISO 27701 een nieuwe norm gepubliceerd die eisen formuleert voor gegevensbescherming in het beheer van informatiebeveiliging. ISO 27701 specificeert daarmee een beheersysteem voor gegevensbescherming op basis van ISO 27001, ISO 27002 (leidraad voor informatiebeveiligingsmaatregelen) en ISO 29100 (raamwerk voor gegevensbescherming). ISO 27701 is een aanvulling op ISO 27001. Certificering volgens de nieuwe norm alleen is niet mogelijk.
Naleving van gegevensbescherming - voordelen
U ontvangt
- Betrouwbare informatie over actiegebieden
- Kennis over verborgen potentieel
- Meer zekerheid van handelen en rechtszekerheid bij de omgang met gegevens na invoering van passende maatregelen
Aan de veilige kant - met een gegevensbeschermingsaudit van DQS
Bedrijven die streven naar compliance op het gebied van gegevensbescherming moeten daarom twee dingen doen: zichzelf of hun compliance officers zo snel mogelijk vertrouwd maken met het onderwerp en de status quo laten vaststellen door een onafhankelijke instantie zoals DQS in de vorm van een gap-analyse.
De focus van zo'n gegevensbeschermingsaudit is een zelfbeoordeling met beoordeling van documenten. Vervolgens wordt ter plaatse gecontroleerd of het bedrijf voldoet aan de essentiële gegevensbeschermingsaspecten. Uit een rapport blijkt of er actie moet worden ondernomen en zo ja, welke.
Loading...
DQS Gap-Analyse Gegevensbescherming
Hoeveel werk is er nodig voor een gap-analyse? Kom er gratis en vrijblijvend achter.
DQS-nieuwsbrief
Blijf op de hoogte en abonneer u op onze nieuwsbrief!
Auteur
Gert Krueger
Expert en projectmanager voor informatiebeveiliging, BSI-KritisV en gegevensbescherming bij DQS. Daarnaast sinds lange tijd auditor voor kwaliteits- en milieumanagement.
Loading...