Home - Over Previder - Actueel - Blogs - Blogs - Doorbreek de verwarring en angst rond de GDPR
Deel deze pagina:

Blogs & Interviews

Doorbreek de verwarring en angst rond de GDPR

De laatste tijd krijg ik steeds meer vragen van klanten over de specifieke impact van de GDPR op hun organisatie. De vraag is of je als cloud- of IT-dienstverlener een centrale rol kunt spelen bij het GDRP-proof maken van de informatiehuishouding van een klant. Ik denk van wel, met name door het feit dat het standaarden en processen vereist die redelijk normaal zijn voor grote IT-bedrijven, maar die dat vaak minder zijn voor hun klanten. Uiteindelijk zal toch elke organisatie er zelf mee aan de slag moeten.

Er is bij bedrijven nog heel veel onbekendheid met de GDPR, of de Algemene Verordening Gegevensbescherming (AVG), zoals hij in Nederland heet. Mensen vertellen soms heel trots dat ze de Verordening hebben doorgelezen, wat op zich een goed begin is, maar nog geen topprestatie. Het gaat hierbij om een heel belangrijk stuk wetgeving, dat grote gevolgen kan hebben voor hoe bedrijven omgaan met privacygevoelige data. Het is daarom wat mij betreft wel een must om de wettekst op zijn minst vast eens door te lezen. Zo lang en ingewikkeld is de tekst niet, en je zult merken dat je de mogelijke gevolgen meer in de juiste proportie gaat zien. Er zijn nu nog bedrijven die bang zijn dat ze ineens alles anders moeten gaan doen bij het werken met klantgegevens. . Maar er zijn ook organisaties die de GDPR sterk onderschatten en denken met een paar onderlinge afspraken klaar te zijn voor deze nieuwe privacywet. Dat is weer te kort door de bocht. Ik zal hier proberen een realistisch beeld te schetsen over hoe je het beste met de GDPR aan de slag kunt gaan.

Doe een gedegen risicoanalyse

Een van de grootste beperkingen van de GDPR is dat de wet handvatten geeft voor het optimaal beschermen van privacygevoelige data, maar dit niet concreet invult. Daarnaast is het in feite een juridisch document waarin niet bepaald IT-taal wordt gesproken. Dit heeft tot gevolg dat je vanuit je eigen perspectief invulling moet geven aan de wet. Het is daarom belangrijk dat je zelf een goede risicoanalyse doet en voor jezelf vaststelt welke technische en procedurele maatregelen je precies moet nemen op privacygebied. En de keuzes die je maakt moet je kunnen verdedigen op het moment dat een probleem ontstaat. Bij een datalek zul je bijvoorbeeld moeten aantonen welke beveiligingsmaatregelen zijn genomen en waarom je op een bepaalde manier hebt gehandeld. Het draait dus niet alleen om het goed op orde hebben van je security, maar ook om het kunnen aantonen daarvan.

Dwingende maatregelen

Ik vraag me wel eens af of de eisen die GDPR stelt aan privacybescherming echt op zoveel punten verschillen van wat nu al moet doen vanuit de Wet Bescherming Persoonsgegevens. Ook die vereist namelijk dat je een risicoschatting maakt en passende maatregelen treft, en ook die zijn niet vrijblijvend. In de nieuwe wet worden de eisen echter iets harder geformuleerd en bovendien wettelijk sterker afgedwongen. Maar zaken als ‘security by design’ en ‘security by default’ zouden bij elk bedrijf dat met persoonsgegevens werkt eigenlijk al lang goed geregeld moeten zijn, ook al is dat op dit moment lang niet voor iedereen het geval. Daarom is het juist zo belangrijk dat IT-leveranciers hun klanten hierbij ondersteunen. Zij zijn immers op een veel hoger niveau met datasecurity bezig en hebben vanuit hun rol veel meer ervaring bij het inregelen van een optimale beveiliging, inclusief de procedures en rapportages die het voortdurend passend zijn van de maatregelen aantoonbaar maken.

Security is maatwerk

Bedrijven die goed met de GDPR omgaan, begrijpen dat security een organisch geheel is. Het reikt veel verder dan enkel de eigen IT-systemen of processen. Het hele netwerk van externe dienstverleners en leveranciers speelt een rol in de beveiligingsketen. Het kan zeker helpen als deze partijen al aan gangbare certificeringen en rapportagestandaarden voldoen, zoals ISO 27001:2013, Soc2 en NEN 7510. Hiermee kun je al aan heel veel van de GDPR-eisen voldoen. Zo kun je als klant bijvoorbeeld om een assurance-rapport vragen waarin staat wat er allemaal aan security wordt gedaan, inclusief de conclusies hierover van een externe auditor. Maar daarnaast zou je echt met je dienstverlener in gesprek moeten gaan voor aanvullend advies over het op de juiste manier inrichten van beveiliging.

Vraag de GDPR-check aan

Bent u benieuwd of uw organisatie voldoet aan de GDPR? Vraag de GDPR-check aan en ik inventariseer bij u op locatie de te treffen maatregelen op het gebied van privacybescherming.

Jeroen Renard

Jeroen Renard is Security Officer bij de Odin Groep en Previder. Voorafgaand aan deze functie heeft hij onder meer ruim 15 jaar als IT auditor gewerkt bij grotere accountantskantoren. Het adviseren over, en uitdragen van security standaarden binnen de organisatie maakt het werk leuk en het is voor Jeroen een uitdaging om veranderingen te brengen waar het moet en ondersteunend te zijn waar het kan.