Herwig Thyssens, head of T-Trust bij T-Systems, legt uit: “T-Systems maakt deel uit van de Deutsche Telekom-groep, die meer dan 200.000 medewerkers telt. Ons bedrijf bereidt zich al zeer lang voor op de GDPR. De grote uitdaging is om ieder van die medewerkers, in het algemeen én binnen het kader van hun job, vertrouwd te maken met de specificaties van de nieuwe wetgeving. Geen gemakkelijke opgave dus, maar toch slagen we hier in via een verplichte opleiding en certificatie van iedere medewerker”, aldus Thyssens.

“Bovendien nemen we bij iedere nieuwe ontwikkeling en implementatie van systemen en processen databescherming in acht. We zien dit immers als een strategisch doel. Via een intern data protection framework zijn daarom voor de hele groep dezelfde controles van kracht.”

 

Tien aandachtspunten:

 
  • Eerst en vooral dient de hele organisatie zich bewust te zijn van het belang en de omvang van de GDPR, van het hoogste tot het laagste niveau.
  • Men dient een inventaris te maken van al de data die men heeft, waar die zich bevinden, of die gevoelig en privaat zijn of niet, over welke soort data het gaat, wie er de eigenaar van is, hoelang men die moet bijhouden,…
  • Er moet transparantie zijn tegenover het publiek over de controles die plaatsvinden om de privacy te beschermen.
  • Ook dienen de IT-systemen en applicaties waarin de data zich bevinden technisch te worden bekeken. Het moet namelijk mogelijk zijn om data aan te passen, te verwijderen, en in sommige situaties te exporteren naar een algemeen formaat,…
  • Men moet privacy impact assessments uitvoeren voordat men applicaties of netwerken bouwt en implementeert die private data verwerken.
  • Iedereen heeft het recht om te vragen welke data organisaties over hem of haar hebben. Ook dit proces moet worden geïmplementeerd.
  • Men dient te controleren of men een wettelijke basis heeft om data te verwerken. Alle contracten én data moeten daarop worden nagekeken.
  • Mensen moeten hun expliciete toestemming geven om hun persoonlijke data te verwerken. Minderjarigen moeten bovendien ook de toestemming hebben van een volwassene. Dit heeft gevolgen voor de contracten en algemene voorwaarden.
  • Internationaal werkende bedrijven moeten weten in welke landen de data worden verwerkt of doorgegeven. Indien van toepassing dienen contracten met buitenlandse partners te worden aangepast. Het eenvoudigste is de data in Europa te verwerken.
  • Als persoonlijke data worden verloren, op welke manier ook, dan is men verplicht om dit te melden aan de relevante autoriteiten.