Blijf op de hoogte:

Contact: 033-7410041

Blogs

8 Stappen om te nemen in respons op de GDPR

In de vorige blog in deze reeks heb ik beschreven wat de verschillen zijn tussen de EU General Data Protection Regulation (GDPR) en de Wet bescherming persoonsgegevens (Wbp). De GDPR treedt in werking op 25 mei 2018 en heeft uitgebreide gevolgen als het gaat om governance, risk & compliance. De wetgeving dwingt organisaties na te denken over de manier waarop ze omgaan met persoonlijke, privacygevoelige data. In deze blog benoemen wij de stappen die je kan nemen om je organisatie te helpen voldoen aan de GDPR.

 

Waarom architectuur de sleutel tot de GDPR is

Om ervoor te zorgen dat je organisatie voldoet aan de GDPR, is het nodig dat je een uitgebreid overzicht hebt van hoe persoonlijke gegevens gebruikt worden in je organisatie, waarom de gegevens verzameld zijn, hoe de gegevens verwerkt worden, wie er toegang toe heeft, waar ze zijn opgeslagen, welke partijen betrokken zijn, wat interne en externe risico’s zijn, enzovoorts. Enterprise architecten hebben een unieke positie in een organisatie. Ze hebben een breed overzicht van de organisatie en een uitgebreid inzicht. Ze hebben de modellen en tools om gegevensbescherming te beoordelen en te verbeteren.

Naast het feit dat de GDPR eist dat je verantwoordelijkheid neemt in het organiseren van gegevensbescherming (compliance), eist de GDPR ook dat je de compliance kan aantonen of bewijzen. Architectuur en architectuurmodellen zijn de belangrijkste bron van deze informatie, zeker als je een coherent en verbonden beeld van alles gerelateerd aan persoonlijke data wil hebben.

 

Te ondernemen stappen

  1. In de meeste organisaties hebben enterprise architecten niet de eindverantwoordelijkheid als het gaat om ervoor te zorgen dat aan wet- en regelgeving wordt voldaan. Deze verantwoordelijkheid kan liggen bij de juridische afdeling, de Chief Risk Officer, de Chief Compliance Offer, de Chief Information Security Officer of bij de Data Protection Officer (functionaris gegevensbescherming) die vereist wordt door de GDPR. Een team vormen met deze officials en ze bewust maken van de mogelijke bijdrage van architectuur is de eerste stap.
  2. Om te kunnen voldoen aan de GDPR is een goed overzicht van de persoonlijke gegevens die verwerkt worden noodzakelijk. Het creëren van een overzicht van privacy-gevoelige gegevens is van cruciaal belang.
    1. Identificeer alle gegevens die volgens de GDPR persoonlijke gegevens zijn.
    2. Classificeer deze gegevens aan de hand van de privacy-gevoeligheid. Maak dit een onderdeel van je standaard informatiebeveiligingsprocessen, waar andere informatiebeveiligingsclassificaties worden toegewezen aan je gegevens zoals de gebruikelijke ‘BIV’ classificaties (beschikbaarheid, integriteit en vertrouwelijkheid).
    3. Beschrijf het doel waarvoor de gegevens verzameld zijn en gebruik deze gegevens ook daadwerkelijk alleen voor dat doel. Een voorwaarde hiervoor is bovendien dat toestemming is verkregen van degenen over wie je gegevens hebt verzameld.
    4. Besteed extra aandacht aan speciale categoriën van persoonlijke gegevens, zoals gegevens gerelateerd aan gezondheid, aan biometrische gegevens (vingerafdrukken, DNA e.d.), aan politieke voorkeur, aan religie, aan etniciteit en aan vakbondslidmaatschap. Het gebruik van deze typen gegevens is namelijk expliciet verboden als gevolg van de GDPR, behalve als zeer specifieke omstandigheden van toepassing zijn.
  1. Analyseer het gebruik van persoonlijke gegevens en gebruik indien mogelijk de bestaande architectuurmodellen als basis voor deze analyse:
    1. Start met hoge-risicogebieden van je architectuur en met de meest gevoelige gegevenstypen. Waar zijn die gegevens opgeslagen en waar wordt het gebruikt?
    2. Modelleer de datastromen: Welke applicaties, processen, mensen en partijen gebruiken deze data, op welke locaties en voor welke doeleinden?
  1. Bepaal risico’s voor de gevoelige gegevens, specifiek voor de rechten en vrijheden van de betrokkenen:
    1. Waar in je organisatie en ICT-landschap zie je kwetsbaarheden?
    2. Wat zijn generieke bedreigingen die deze kwetsbaarheden zouden kunnen exploiteren?
    3. Wat zijn de potentiële consequenties?

Voor het doen van geavanceerde risicoanalyses kan je de ‘Enterprise Risk and Security Management’-module van BiZZdesign Enterprise Studio gebruiken. Deze module is gebaseerd op de ArchiMate en de Open FAIR standaarden van de Open Group. In de tooling zit standaard content met daarin generieke bedreigingen van de informatiebeveiliging- en bedrijfscontinuïteitsen de beheersdoelen en maatregelen als omschreven in de ISO/IEC 27001 standaard. Dit kan dienen als startpunt, zodat je het wiel niet opnieuw hoeft uit te vinden.

  1. Definieer mitigerende maatregelen. Gebruik standaarden zoals de ISO/IEC 27001 als basis voor identificeren van bruikbare maatregelen om risico’s te beperken. Belangrijk is hier dat je dit zo vroeg mogelijk doet in een ontwerp- of verandertraject, om een data-protection-by-design aanpak (waar de GDPR specifiek om vraagt!) te bewerkstelligen. Daarnaast helpt het in een vroeg stadium controles en maatregelen te definiëren ter voorkoming dat maatregelen er in een laat stadium bij bedacht worden, met het bijkomende meerwerk, de extra kosten en het grotere risico.
  2. Prioriteer risico’s, alloceer budgetten en plan de benodigde veranderingen en verbeteringen:
    1. Evalueer de kosten van maatregelen tegen de risico’s (in termen van het verwachte verlies) om het beschikbare budget te focussen op de plekken waar het echt waarde levert of er echt toe doet.
    2. Integreer het nemen van deze beslissingen met portfolio management en roadmaps op organisatieniveau. Dit kan er bijvoorbeeld voor zorgen dat je voorkomt te veel uit te geven aan het oplappen van een applicatie die binnenkort uitgefaseerd wordt. Het zorgt er daarnaast voor dat je beveiligingsgerelateerde verbeteringen kan combineren met andere verbeteringen.

De ‘portfoliomanagement’-functionaliteit van BiZZdesign Enterprise Studio is in dit stadium erg nuttig. Duidelijke dashboards helpen het management om beslissingen te nemen over prioriteiten en investeringen, waarbij alle invalshoeken meegenomen worden en de mogelijkheid bestaat om te filteren en focussen op dat wat relevant is (zie onderstaand).

 

figuur4.png
Applicatieportfolio lifecycle tabel, gefilterd op applicaties met hoge risico's en hoge kosten.

 

  1. Implementeer de maatregelen zoals je ze in je organisatie, processen en systemen gedefinieerd hebt en test hun beveiliging. Dit is natuurlijk het belangrijkste!
  2. Toon aan dat je als organisatie voldoet aan de GDPR en andere regelgeving, door te laten zien hoe je persoonlijke gegevens verwerkt, hoe je omgaat met de daarbij behorende risico’s en welke mitigerende maatregelen je hebt geïmplementeerd.

Dit is natuurlijk iets wat een iteratief karakter heeft; de hierboven benoemde stappen moeten regelmatig opnieuw geheel of gedeeltelijk uitgevoerd worden om ervoor te zorgen dat je blijft voldoen aan de relevante wet- en regelgeving en ervoor te zorgen dat dit opgenomen wordt in het bestaande governance framework. Deze stappen zijn in het bijzonder relevant als je een Privacy Impact Assessment (PIA) moet uitvoeren, wat de GDPR vereist voor het implementeren van een nieuw systeem dat persoonlijke gegevens verwerkt.

BiZZdesign Enterprise Studio gebruiken in combinatie met bovenstaande aanpak helpt om de bestaande architectuur, data en portfoliomodellen als hefboom te gebruiken. Die bestaande modellen zorgen voor een vliegende start in het verbeteren van informatiebeveiliging en voldoen aan regelgeving. Deze geïntegreerde aanpak helpt om te investeren in veiligheid daar waar het telt en voorkomt boetes, datalekken en het oplopen van reputatieschade door niet compliant te zijn. Mei 2018 is dichterbij dan je denkt en voldoen aan de GDPR is een forse opgave, dus aarzel niet en begin vandaag!

 

GDPR plan van aanpak

Er staat voor organisaties het nodige te doen om 25 mei te halen. Het kan in de tijd die vanaf nu nog beschikbaar is, maar het is wel verstandig om direct te beginnen. Het plan van aanpak geeft u handvatten waarmee u concreet aan de slag kunt. Aan de hand van vier fases wordt u meegenomen in het implementatieproces van de GDPR. 

New Call-to-action

 

Deze blog is een vertaling van de blog: 8 Steps Enterprise Architects Can Take to Deal with GDPR geschreven door Marc Lankhorst (BiZZdesign

 

GDPR, GDPR event