GDPR Compliance Navigator

Wat is GDPR?

GDPR staat voor General Data Protection Regulation. Het is een Europese richtlijn die op 25 mei 2018 van kracht wordt. In essentie komt ze neer op een enorme verstrenging en uitbreiding van de privacywetgeving. Dat was nodig om in te spelen op de nieuwe risico’s die de digitalisering met zich heeft meegebracht.

Wat zijn de uitdagingen?

De consumenten of burgers krijgen heel wat nieuwe rechten m.b.t. de data die bedrijven bewaren. Dat stelt heel wat eisen aan uw organisatie:

  • Indien uw gegevensverwerking en de opslag risico’s inhouden, moet u een data protection impact assessment uitvoeren en eventueel zelfs iemand aanduiden als data protection officer.

  • Bij het ontwerp van uw diensten en producten moet u vanaf de start het concept van privacy by design en privacy by default toepassen. Dit houdt in dat u vanaf de basis in uw processen en product- en dienstontwikkeling, privacy aspecten als need to have prioritair moet stellen.

  • U zal een gedocumenteerde interne policy of service level overeenkomst moeten hebben en deze op aanvraag kunnen voorleggen. U moet ook procedure voor datalekken hebben en in staat zijn lekken binnen de 72 uur op te merken en aan te geven.

Kortom, er zijn veel uitdagingen en het is niet eenvoudig om deze zonder ondersteuning efficiënt in kaart te brengen, ze aan te pakken en vervolgens duurzaam te managen.

Voor wie is het van toepassing?

GDPR is van toepassing op elke organisatie (groot of klein) die gevoelige informatie over klanten bijhoudt. Veel bedrijven onderschatten de reikwijdte van GDPR. Vooral omtrent wat nu precies gevoelige informatie betekent, is er dikwijls onvoldoende kennis aanwezig. 

Daarnaast voelen veel middelgrote en kleinere bedrijven zich niet aangesproken – wat foutief is. De regels zijn er voor iedereen, van KMO tot multinational.

Wie moet er mee bezig zijn?

GDPR is geen zaak van de CIO alleen. GDPR belangt de Chief Legal Officer aan want het is een zaak van interne compliance met juridische consequenties.

GDPR staat echter ook op de agenda van de CFO want er zijn extreme financiële consequenties tot wel 20 miljoen€ boete, wanneer men niet voldoet aan de regels.

GDPR is echter ook een kritisch aandachtspunt voor de CEO want hij is uiteindelijk aansprakelijk voor non-conformiteiten.

Kortom, GDPR is een gedeelde verantwoordelijkheid over de departementen en rollen heen.

Hoe ga je tewerk?

Er circuleren heel wat checklists en stappenplannen om te voldoen aan de GDPR-regels. Maar deze leggen de verantwoordelijkheid dikwijls bij één partij in het bedrijf, namelijk IT. GDPR is echter iets wat de hele organisatie aangaat en een succesvolle en kost- en tijdsefficiënte aanpak die ook naar de toekomst haalbaar blijft, dient dus organisatiewijd gecoördineerd te worden.

Bovendien is GDPR een complex gegeven dat niet in een 10 stappen generiek to do-lijstje met te steken is, maar een aanpak op maat verreist met oog voor de bedrijfscultuur.

Daarom stelt Xedis de GDPR Compliance Navigator voor die op uw maat een as is en to be vaststelt.

Hoe ziet onze navigator eruit?

De Xedis GDPR Compliance Navigator is een op uw maat toegesneden dienst die in plus minus vijf dagen:

  • De interne betrokkenen en hun rollen identificeert en omschrijft;

  • via een materialiteitsassessment uw privacy- en databeheeruitdagingen in kaart brengt

  • een overzicht van de gap tussen de AS-IS en GDPR-compliance beschrijft;

  • een op maat gemaakt roadmap / stappenplan biedt om tot GDPR compliance te komen:

  • beproefde change- en project management methode aanreikt om de compliance te verankeren.

Wij maken het verschil omdat we GDPR-compliance en monitoring in uw organisatie vanuit een overkoepelende governance aanpak zien en als gedeelde verantwoordelijkheid tussen business en IT.

Deze aanpak sluit aan bij de core activiteit van onze adviesverlening voor bedrijven, namelijk harmoniseren van IT en business delivery vanuit de insteek van proces- en organisatieoptimalisatie. Hierbij besteden wij veel aandacht aan interne change, communicatiestromen en governance aspecten.

We bieden deze dienstverlening aan in een pakket dat forfaitair wordt begroot.

Na afloop kan u snel, doelgericht en efficiënt de juiste stappen zetten die een duurzame GDPR compliance mogelijk maken. 

Om de risico’s goed in te schatten en te blijven managen, is GDPR eigenlijk een gedeelde verantwoordelijkheid die vanuit een project management insteek aangepakt wordt.

Xedis kan u daarbij verder ondersteunen zowel als:

  • Project Manager

  • Interim DPO (Data Protection Officer)

  • Security specialist

  • Legal specialist

Wij kunnen de implementatie van het actieplan managen zodat u zich zonder zorgen op uw core business blijven focussen. Aarzel niet om ons te contacteren.