GDPR: Is uw clouddienstverlener klaar voor 25 mei?

RudyArts

Rudy Arts, regional sales executive EMEA, iland

Nog maar een maand, dan is GDPR van kracht. Vanaf vrijdag 25 mei moeten organisaties kunnen bewijzen dat ze compliant zijn met deze nieuwe wetgeving. Nog maar een maand dus om alles op orde te krijgen. Hoe zit het met de eisen die GDPR stelt aan cloud workloads: hoe zorgen organisaties ervoor dat ze op dat vlak voldoen aan de nieuwe wetgeving?

Risico’s uitbannen

Een aantal zaken moeten inmiddels duidelijk zijn voor organisaties: ze moeten weten welke data ze bezitten en waar deze is opgeslagen. Ook moet afgestemd zijn wie op welk moment toegang heeft tot specifieke data. Aanpassingen in applicaties, diensten of procedures moeten getoetst worden aan Privacy Impact Assessments (PIA’s), onder auspiciën van een Data Privacy Officer (DPO). Werk daarbij ook samen met de DPO van partijen die gegevens verder verwerken (dataprocessors) zodat er sprake blijft van eenheid in beleid.

Door Data Protection Impact Assessments (DPIA’s) uit te voeren, wordt inzichtelijk waar risico’s gelopen worden en welke stappen genomen moeten worden om dit gevaar in te dammen. Het aantal werknemers dat toegang heeft tot data moet onderdeel zijn van een DPIA: hoe minder personen toegang hebben, hoe minder risico.

Data Protection Officer

Hij wordt hierboven al genoemd: de Data Protection Officer (DPO). Publieke instellingen die met grote hoeveelheden beschermde data te maken hebben of organisaties die op grote schaal persoonsgegevens verwerken, zijn verplicht een DPO aan te stellen.

Maar ook bedrijven die niet wettelijk verplicht zijn om een DPO te benoemen, moeten er verzekerd van zijn dat ze voldoende personeel beschikbaar hebben die verantwoordelijkheid dragen voor compliance. Omdat specialisten op het gebied van dataprotectie schaars zijn (zeker nu), kan het ook een mogelijkheid zijn om een externe partij in te schakelen ter ondersteuning.

Papierwerk finaliseren

Organisaties die persoonsgegevens verzamelen (datacontrollers) en beheren in een cloudomgeving moeten kunnen aantonen dat deze gegevens zo goed mogelijk worden beschermd bij de doorvoer, opslag en verwerking ervan. Het is gebruikelijk dat organisaties met derde partijen samenwerken om gegevens te hosten en te verwerken. De cloud is hiervan het ultieme voorbeeld. De datacontroller moet contracten hebben opgesteld met partijen die gegevens verder verwerken, denk hierbij aan cloudhostingpartijen. In deze contracten is vastgelegd dat zij met deze gegevens omgaan zoals de GDPR voorschrijft. GDPR draait immers voor een groot deel om het afleggen van verantwoording.

Dataprocessors moeten door datacontrollers volledig betrokken worden bij dit controleproces en aantonen dat hun procedures in lijn zijn met het GDPR-beleid.

Voorlichting en educatie

Maar GDPR is meer dan een afvinklijstje met audits en contracten. GDPR vraagt om de volledige toewijding van organisaties om databescherming standaard onderdeel te maken van hun bedrijfscultuur. GDPR is niet alleen van toepassing op IT. Het moet in de vezels zitten van de hele organisatie.

Werknemers weten al een tijd dat GDPR eraan zit te komen. Inmiddels moeten ze ook volledig op de hoogte zijn van de invloed van deze nieuwe regelgeving op hun werkzaamheden. Sommige afdelingen werken al jaren met gevoelige informatie en zullen wellicht al voldoen aan de strengere regelgeving. Voor andere afdelingen zal het meer aanpassingen vergen. Hoe dan ook: bescherming van persoonsgegevens is niet langer optioneel, het is bittere noodzaak. Het continu onderwijzen van personeel, van introductie tot opfriscursussen, is hierbij essentieel. Maak het beheer van eigen persoonlijke data hier onderdeel van. Op die manier wordt er organisatiebreed databewustzijn gecreëerd, van de CEO tot het klantenserviceteam.

Creëren van overzicht - waar staat data en wie heeft toegang?

Op dit moment zouden bedrijven een overzicht moeten hebben van de data die zij bezitten, waarom ze die heeft en waar die is opgeslagen. Ook moeten zij nu weten wat het risico is van die data, wie op welke manier toegang heeft en welke relatie dit heeft tot de bedrijfsvoering. Daarnaast moeten bedrijven inmiddels ook begrijpen hoe data door de organisatie stroomt en weten welke oplossingen er zijn om aanpassingen in data te signaleren die een risico vormt. Wijzigingen in applicaties, diensten en procedures moeten beoordeeld worden via de PIA- en DPIA-processen en uiteindelijk ook door de DPO zelf.

Beveiliging van de Europese data sets

Data van Europese burgers moet veilig in Europese datacenters opgeslagen worden. Controllers moeten dit kunnen garanderen en aantonen. Data processoren moeten contractueel aan deze eis voldoen. Als zij nog geen contact gezocht hebben, is het zaak zelf actief contact met hen op te nemen.

Aanstellen van de Data Protection Officer (DPO)

Wanneer jouw organisatie een publieke instelling is, stelselmatig veel data verwerkt, of te maken heeft met speciale categorieën beschermde data, dan dient een DPO aangesteld te worden die direct rapporteert aan het hoogste management binnen de organisatie. Eén maand voor het in werking gaan van de nieuwe richtlijn, zou deze nu inmiddels aangesteld moeten zijn.

Zelfs als je officieel geen DPO aan hoeft te stellen, is het zaak voldoende mankracht toe te wijzen om er zeker van te zijn dat de organisatie compliant is.

De laatste loodjes

25 mei nadert met rasse schreden, veel van bovengenoemde maatregelen zouden inmiddels al genomen moeten zijn. Bedrijven die nog niet zo ver zijn, moeten in ieder geval aantonen dat ze er hard aan werken om compliant te worden. En voor alle organisaties geldt: het werk houdt niet op na 25 mei 2018. Bescherming van persoonsgegevens moet bij alle organisaties top of mind zijn, niet alleen vanuit wettelijk oogpunt.