De one size fits (almost) all: GDPR checklist

De one size fits (almost) all: GDPR checklist

DE AVG (voorheen GDPR) komt eraan en is onontkoombaar. Elke organisatie krijgt hiermee te maken. Toch valt het me op hoe weinig organisaties al echte stappen hebben gemaakt op GDPR Proof te zijn op 25 mei. Om jullie toch een handvat te geven dit wel te zijn op 25 mei, heb ik een checklist gemaakt. Deze GDPR-checklist zal voor 9 van de 10 organisaties voldoende zijn om op 25 mei GDPR Proof te zijn. In ieder geval zorg je ervoor door deze lijst af te werken, dat je een ‘redelijke inspanning’ hebt gedaan.

De checklist is opgebouwd uit de volgende delen

  1. 10 vragen Assessment
  2. Projectplan
  3. Processen, procedures en controle
  4. Documentatie
  5. Audit

GDPR Assessment:

Zonder nulpunt geen vertrek. Gebruik dit GDPR-assessment om te bepalen waar je staan en wat je nog moet doen om op 25 mei GDPR compliant te zijn.

  1. Wat voor persoonlijke data slaan we op?
  2. Voor welke data hebben we expliciete toestemming?
  3. In hoeverre hebben we diegenen waarvan we data hebben opgeslagen ook geïnformeerd met welk doel we hun data hebben opgeslagen?
  4. Hoe verzekeren wij dat we voor alle nieuw opgeslagen data we de juiste toestemming krijgen
  5. Hebben we degenen waarvan we data hebben opgeslagen al geïnformeerd dat zij op ieder moment:
  • Toegang hebben tot hun data/hun data kunnen inzien
  • Dat wij eventuele fouten snel zullen herstellen
  • Dat zij hun data eenvoudig (door ons) kunnen laten verhuizen (naar een andere aanbieder)
  • Dat we hun data niet langer bewaren dan nodig
  • Dat hun data verwijderd kan worden op elk moment dat zij dit verzoeken.
  1. Hoe zorgen we ervoor dat we data niet langer opslaan dan nodig
  2. Hoe zorgen we ervoor dat data actueel blijft
  3. In hoeverre slaan wij ‘gevoelige data’ op? (Kinderen, creditcards, strafrecht, etc. Data waar een ander heel, heel erg zijn best voor moet doen om dit in handen te krijgen)
  4. Hoe beveiligen wij de opgeslagen data?
  5. In hoeverre komt dit overeen met de gevoeligheid van de data die we opslaan?
    1. Gebruiken wij encryptie
    2. Welke data pseudonimiseren wij
    3. Welke data anonimiseren wij
  6. Met welke organisaties delen wij onze data? (Denk hierbij ook aan ingehuurde freelancer, systemen waar data in opgeslagen wordt, partijen die ingeschakeld worden om bepaalde taken, of processen over te nemen en de beschikking krijgen over jullie data, etc.)
  7. Met welke organisaties buiten Europa delen wij data?

10 stappen GDPR-project plan

GDPR-compliant worden lijk lastig, en zonder een goed projectplan, is dit het ook. Hieronder een beknopt projectplan waarmee ook jij straks op tijd GDPR Proof bent.

  1. Hebben we een projectplan/team?
  2. Hebben we een projectteam/hebben we een security team/verantwoordelijke?
  3. Hebben we voldoende GDPR-kennis in huis?
  4. Hoe zorgen we ervoor dat we de einddatum (25-5-2018) gaan halen
  5. Hebben we directie/management aan boord
  6. Hebben we voldoende budget, resources om het project tijdig tot een goed einde te brengen
  7. Welke kennis/kunde moeten we inhuren
  8. Moeten wij een Data Privacy Impact assessment uitvoeren/ Hebben we een Data Privacy officer nodig?
  9. Implementeren wij een ‘data protection by design and default’ policy? Waarbij het uitgangspunt is dat wij ervan uitgaan, dat we persoonlijke data beschermen omdat dit schadelijke gevolgen heeft in het geval van een ‘data breach’ voor individuen waarvan we de data opslaan?
  10. Ook de data van onze werknemers moeten in dit plan worden verankerd en worden behandeld overeenkomstig de GDPR-wetgeving.

Processen, procedures en controle

GDPR compliant zijn, bestaat voor een deel uit processen, maar ook procedures en mensenwerk spelen een rol. Hierdoor dien je ervoor te zorgen dat alles GDPR Proof is. Dat je bijhoudt of dit nog zo is en bijstuurt.

 

  1. Is ons security team/verantwoordelijke, op de hoogte van GDPR, weten zij wat ze exact te wachten staat en wat zij moeten gaan doen?
  2. Hebben zij voldoende capaciteit om dit uit te voeren
  3. In hoeverre hebben wij al processen en/of procedures voor verzoeken als:
    • Data inzage
    • Data toegang
    • Data verwijderen
    • Data portabiliteit
    • Data aanpassen
    • Data verwijderen
  4. Komen deze processen en procedures overeen met hoe dit onder GDPR moet werken?
  5. Hoe zorgen wij voor correcte en GDPR Proof rapportages in het geval van een data breach
  6. Hoe zorgen we ervoor dat dit vlot verloopt
  7. Hebben we security alarmeringen, of signalering om data breeches snel op te sporen
  8. Is iedere werknemer waarvoor de nieuwe richtlijnen van toepassing zijn op de hoogte gebracht en getraind om zijn werkzaamheden uit te voeren overeenkomstig de GDPR Richtlijnen.
  9. Hoe vaak reviewen/herzien wij onze processen, procedures om GDPR-compliant te blijven
  10. In hoeverre is er een GDPR-audit opgesteld en hoe vaak laten we deze audit plaatsvinden?

Documentatie

Je zult heel veel zaken, beter, moeten vastleggen., dat betekent dat de documentatie op orde moet zijn en blijven. Hiermee borg je jullie GDPR compliancy.

  1. Hebben we al een Privacy policy?
  2. Maak een Privacy policy, of pas deze aan, aan de GDPR Richtlijnen
  3. Zijn al onze interne processen en procedures goed gedocumenteerd en aangevuld met GDPR eisen.
  4. In hoeverre hebben al een beleid over hoe om te gaan met hoe lang we data (mogen) opslaan van:
    • Klanten
    • Prospects
    • Leveranciers
    • Kandidaten
  5. Slaan we deze data nu al GDPR-compliant op
  6. Zijn al onze interne processen gedocumenteerd
  7. Als wij een data verwerker zijn, hebben wij onze contracten al aangepast met de data-eigenaren met de vereisten uit art. 28 van de GDPR
  8. In het geval van derden die beschikking hebben over en onze data mede verwerken, hebben wij de contracten met hen aangepast aan de GDPR vereisten voor verwerkers?

Audit

Ik raad iedereen met klem aan om een audit te laten uitvoeren. Ook al heb straks leveranciers, specialisten etc. die zeggen dat je het fantastisch hebt gedaan en helemaal GDPR Proof bent. Toch zou ik er dan voor kiezen om onafhankelijke partij dit te laten bevestigen. Het kost je wat meer, maar dan weet je ook zeker dat je voldoende hebt gedaan om boetes te voorkomen.

Keurmerk

Het is nog even wachten, maar ik vermoed dat er straks partijen zullen opstaan die een GDPR Keurmerk zullen afgeven.

De 4e P

Op het moment dat je alles hebt gedaan, incl. audit om GDPR Proof te zijn, heb je ook iets om aan klanten, prospects en kandidaten als USP te tonen. Privacy, ik heb het al vaker gezegd, kan hiermee zomaar de 4e P voor je worden.

Disclaimer(tje)

Dit stuk is bedoeld om een start te maken met GDPR. Ik kan me voorstellen, dat het lastig is om een begin te maken, vooral wanneer je ook nog met andere werkzaamheden zit. Maar je moet het wel doen. Laat dit document ene handvat voor je zijn. Je kunt er op geen enkele manier rechten aan ontlenen, maar gebruik het als richtlijn om 25 mei te halen.

Mocht je vragen hierover, of over de AVG in het algemeen hebben, dan hoor ik ze graag. Heb je interesse om hier meer over te horen? Samen met een aantal andere specialisten, spreek ik op 12 december op dit evenement.

2018-07-25T09:11:29+00:00