Hoe pakt Merak de nieuwe GDPR-regelgeving aan?
24-05-2018 - in Merak
25 mei 2018. Op die datum werd de nieuwe GDPR-regelgeving ingevoerd. Om er zo goed mogelijk op voorbereid te zijn, was Merak vragende partij voor een externe audit door Infosentry, gespecialiseerd in informatieveiligheid en privacy. De conclusie? Met minimale inspanningen kon Merak een volwassen privacy-managementsysteem op poten zetten, volledig in lijn met het bestaande informatieveiligheid-managementsysteem.
GDPR in vijf punten
GDPR is de opvolger van de richtlijnen die in 1995 goedgekeurd werden, waar alle Europese lidstaten hun nationale privacywetgeving op gebaseerd hebben.
- De GDPR-richtlijnen stellen dat verantwoordelijken voor informatieverwerking en informatieverwerkers technische en organisatorische maatregelen moeten treffen om data te beschermen tegen datalekken en hackers.
- Bedrijven moeten toestemming vragen aan betrokkenen om gegevens te mogen verzamelen en gebruiken.
- De gegevens die bedrijven verzamelen, moeten een doel hebben, en dat doel moet ook duidelijk gecommuniceerd worden. Dat wil zeggen dat de verklaringen aangepast moeten worden in duidelijke, begrijpelijke taal.
- Datalekken moeten binnen de 72 uur gemeld worden aan de privacy-commissie.
- Iedereen heeft het recht om aan bedrijven te vragen over welke persoonlijke gegevens ze beschikken en om die informatie te verwijderen.
Infosentry maakt met 25 consultants deel uit van Cronos Group, het grootste IT-consultancybedrijf van België, en auditeert bedrijven, doet assessments, organiseert implementatieprojecten en helpt bedrijven bij het behalen van ISO-certificaten. Merak vroeg ons om een onafhankelijke, externe beoordeling uit te voeren, aldus Cedric Brosens, Governance, Risk & Compliance Consultant bij Infosentry. Ze wilden weten waar ze stonden, wat GDPR voor hen betekende en wat de pijnpunten waren die ze tegen 25 mei nog moesten wegwerken.
Opportuniteit
Brosens bezocht de Merak-vestigingen in Schelle, Mechelen en Vilvoorde, waar de belangrijkste activiteiten van Merak plaatsvinden.
De hele organisatie werd grondig doorgelicht, van HR en Marketing tot Legal en het Scanningsdepartement.
Ongeveer elke dienst kwam aan bod om een zo breed mogelijk beeld te krijgen van de GDPR-toepassingen bij Merak.
De audit nam een zestal dagen in beslag.
Brosens: “Het waren heel intensieve gesprekken met de verantwoordelijke van elke dienst.
Wat mij meteen opviel bij Merak, is hoe informatieveiligheid ingebakken zit in de bedrijfscultuur.
Daarnaast was iedereen ruimdenkend en zagen ze GDPR niet als een last, maar als een opportuniteit.
Naast het gegeven om compliant te zijn, was het voor iedereen bij Merak ook een manier om hun processen verder te verbeteren.
Concreet actieplan
Ik heb vooral naar de maturiteit voor GDPR gekeken, gaat Brosens verder. Merak is al ISO 9001- en 27001-gecertificeerd, wat een groot voordeel is. Maar de nieuwe regelgeving heeft specifieke vereisten waar Merak nog niet aan voldeed. Die heb ik in kaart gebracht en in een rapport gegoten. Daarna heb ik er een actieplan aan gekoppeld waar Merak mee aan de slag kon. De aanbevelingen werden goed onthaald en er werd meteen gekeken hoe het bedrijf ze kon invullen en integreren in de bestaande processen. De meeste zaken waren quick wins en kleine bijsturingen. Het was een positieve conclusie met een pragmatische actielijst, die op korte tijd en op een efficiënte manier met minimale inspanningen geïmplementeerd kon worden in een privacy-managementsysteem in lijn met het bestaande informatieveiligheid-managementsysteem.
100 procent GDPR-compliant?
Volgens Brosens is het een utopie voor bedrijven om honderd procent GDPR-compliant te zijn. Daarvoor zijn er te veel nuances en onduidelijkheden in de regelgeving. Maar Merak komt wel in de buurt en heeft alleszins de juiste maatregelen getroffen om de privacy van klanten zo goed mogelijk te beschermen en te waarborgen.
Hulp nodig bij uw aanvraag?
Bereikbaar ma-vr 08u30 tot 17u00
