Creëer overzicht, maak een planning – GDPR heeft veel impact

Werkt u met persoonsgegevens? Dan heeft de General Data Protection Regulation (GDPR, of AVG in het Nederlands) impact op uw organisatie. In negatieve zin, want de boetes zijn vanaf mei 2018 zo stevig dat u die niet wilt riskeren. Maar ook in positieve zin: hoe eerder u aan de GDPR voldoet, hoe meer vertrouwen u van uw klanten wint. Want databescherming staat voor steeds meer mensen – ook voor uw klanten, leden of afnemers – met stip op één.

Daarom in deze blog aandacht voor de impact van de GDPR op uw bedrijfsvoering en welke stappen u nu als eerste neemt. Hoe creëert u overzicht en richt u een aanpak in waarmee u uw organisatie en uw Dynamics 365-omgeving goed voorbereidt?

 

Stap 1: welke persoonlijke gegevens heeft u eigenlijk in huis?

Al uw zogenaamde ‘PII’ – person identifiable information – bent u verplicht te registreren in een dataregister. Dat staat in artikel 30 van de GDPR  (bekijk de volledige tekst in het Nederlands). Daarvoor zult u ten eerste moeten achterhalen welke persoonsgegevens u eigenlijk in huis hebt. In het dataregister verzamelt u vervolgens alle gestructureerde PII, bijvoorbeeld vanuit uw databases, en uw ongestructureerde PII, zoals e-mails en losse documenten. Aan die data koppelt u informatie, zoals:

  • Het doel en grondslag van de verwerking
  • Een categorisering van alle betrokkenen en van de persoonsgegevens
  • Een categorisering van ontvangers van data
  • Of de data aan een ander land of internationale organisatie zijn doorgegeven
  • Retentiebeleid per datacategorie

Daarnaast neemt u in het dataregister de contactgegevens van uw bedrijf en uw DPO (Data Protection Officer) op, plus de algemene en organisatorische beveiligingsmaatregelen (artikel 32) die u neemt om uw PII afdoende te beschermen.

Is er een datalek geweest en constateert de Autoriteit persoonsgegevens dat u geen dataregister hebt? Dan krijgt u zeer waarschijnlijk een boete. In de VS zijn al forse boetes uitgedeeld. Juist wanneer een datalek niet gemeld wordt, zijn de boetes fors. Meldt u een datalek netjes op tijd en heeft u wél een dataregister? Dan kun je verwachten dat de kans op een boete heel klein is.

 

Stap 2: maak een dataregister in Dynamics 365

In Dynamics 365 Business applicaties (CRM) kunt u een dataregister maken. Op de site van Microsoft leest u hoe u dat precies doet. Zie ook dit screenshot:

Blog 2 screenshot MSFT dataregister maken

Bron: Microsoft

 

In Dynamics 365 Enterprise (ERP) is het eveneens mogelijk een dataregister te maken. Gebruik daarvoor bijvoorbeeld de Azure Data Catalog en de zogenaamde ‘entiteiten’ (onderdelen) van Dynamics 365 Enterprise. Zo gebruikt u deze entiteiten om een dataregister te maken:

  • Maak een template-entiteit aan, met daarin alle entiteiten die persoonlijke informatie bevatten (adresboek, leveranciersgegevens, klantgegevens, transacties et cetera).
  • Exporteer deze data, analyseer ze en leg vast wat de verschillende PII-categorieën zijn.
  • Gebruik dit als basis voor uw dataregister.

 

Nog even voor uw overzicht: de GDPR in vogelvlucht

Persoonlijke privacy Controles en meldingen Transparante bedrijfsvoering IT en training
Individuen hebben het recht om: Organisaties zijn verplicht om: Organisaties zijn verplicht om: Organisaties zijn verplicht om:
- De eigen gegevens in te zien. - Persoonlijke gegevens op een gepaste manier te beveiligen. - Duidelijk aan te geven wanneer ze persoonlijke gegevens verzamelen. - Personeel en werknemers op te leiden in correcte dataomgang.
- Fouten in hun gegevens te wijzigen. - Autoriteiten te waarschuwen bij datalekken. - Aan te geven waarom ze die gegevens verzamelen. - Databeleid te auditen en te updaten.
- Hun gegevens te wissen. - Gepaste toestemming te vragen voor het verwerken van gegevens. - Dataretentie- en verwijderingsbeleid vast te leggen. - Een dataprotection officer (DPO) aan te nemen (verplicht voor onder meer overheden).
- Bezwaar te maken op de manier waarop gegevens worden verwerkt. - Gedetailleerd te documenteren.   - Compliant verkoopcontracten te maken en te beheren.
- Hun persoonlijke gegevens te exporteren.      

Gebaseerd op een presentatie door Microsoft, november 2017.

Stap 3: maak een planning

In een planning legt u vast wat de meest belangrijke activiteiten zijn. Denk onder meer aan:

  • organisatorische en technische maatregelen voor beveiliging,
  • procedures voor meldingen van datalekken,
  • het organiseren van trainingen om iedereen in het bedrijf bewust te maken van het belang van een melding van een datalek.

Want krijgt u te maken met een datalek, dan heeft u slechts 72 uur (!) de tijd om het te melden. Daarom is het noodzakelijk dat al uw medewerkers voor die tijd weten wat ze wanneer moeten doen.

Een tool als de Microsoft Compliance Manager helpt u een begin te maken met uw planning. U vindt hierin onder meer een goed overzicht van de vereisten waar u aan moet voldoen. Lees er meer over in mijn review van deze tool.

 

Stap 4: volg mijn blog

De komende maanden ga ik u helpen met verschillende issues. Zo help ik u stap voor stap u goed voor te bereiden op de komst van de GDPR. Overleg nog wel met uw juridisch adviseur over de maatregelen die u neemt en of die afdoende zijn, specifiek voor uw organisatie. Tip: stuur de blog ook door naar uw collega’s. Om te voorkomen dat een datalek aan uw aandacht ontsnapt, zijn goed voorgelichte collega’s namelijk cruciaal. In mijn volgende blog ga ik daar verder op in.

 

Datalek verzwijgen? Fikse boete!

In de VS was recent een schandaal rond een hack bij Uber. Niet vanwege de hack zelf – al was die ook best indrukwekkend – maar het schandaal zat hem er vooral in dat Uber de hack een jaar lang verzwegen had. Ze betaalden de hackers zelfs 100.000 US Dollar om de diefstal van data van 57 miljoen klanten en medewerkers stil te houden, vertelt The Guardian. Welke boete het bedrijf krijgt, is nog niet bekend.

Een ander Amerikaans bedrijf kreeg eerder in 2017 voor het verzwijgen van een hack al een recordboete van 115 miljoen US Dollar. In Nederland stelde Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, in het FD dat zij straks geen ‘kwantumkorting’ zullen geven bij overtredingen. Goede voorbereiding is geen overbodige luxe, dus.