U kan niet kunnen komen naar de groep sessie ? We kunnen u individueel begeleiden op afspraak.

Resultaat:

  • lijst met actuele risico’s
  • de te ondernemen acties
  • de prioriteiten (hoog risico, beperkte actie, beoogd resultaat)
  • RACI-matrix: wie doet wat, en wie moet betrokken zijn bij het ondernemen van de actie

Gevolg: u weet wat te doen, wie het moet doen, hoe het moet
worden gedaan, en tegen wanneer

Overzicht van gegevensverwerking

Doel: inzicht krijgen hoe gegevens binnen de organisatie worden verwerkt en waar

Overzicht maken van “data assets”

  • Waar: ERP-systeem, website, intranet, klantenlijsten, personeelsbestand, …
  • Welke gegevens: persoonsgegevens, gevoelige gegevens, …
  • Wie is betrokken in verwerking: onderneming zelf, leveranciers (van data),,
    gebruikers (van data) hostingbedrijf, sociaal secretariaat, Dropbox,Microsoft 365, Salesforce.com, …
     

Documenteren en visualiseren van dit overzicht

  • Analyseren van maatregelen op vlak van data security en data privacy genomen door de betrokken derden, en desgevallend
    bijkomende waarborgen vragen (of nemen)
  • Gevolg: startpunt van het dataverwerkingsregister

Review processen en pas ze aan

  • Doel: aanpassen van processen aan de hand van de nieuwe vereisten in de GDPR
  • op basis van risico-analyse en gegevensverwerkingsregister

 

Implementatie van de rechten van betrokkenen:

  • persoonlijke oefening: gebruik geen templates
  • transparantieverplichting
  • beslissingen: van het behouden van manuele processen tot en met volledig automatiseren
  • Zorg ervoor dat degenen die rechtstreeks (of onrechtstreeks)betrokken zijn bij het nieuwe proces op de
    hoogte zijn van de wijzigingen
  • Opnieuw een individuele keuze (maar documenteer!):
  • klanten, leveranciers, contractspartijen, …
  • personeel: trainings

Gevolg: processen aangepast aan de hand van de nieuwe
vereisten in de GDPR

 

Identificeer rol bij gegevensverwerking

  • Doel: bepalen van verantwoordelijkheden naar betrokkenen en de uitoefening van hun rechten op basis van risico-analyse
  • In essentie komt dit erop neer dat men zich de vraag moet stellen of men verwerkingsverantwoordelijke of verwerker is
    (of gradaties ertussen), en wie vervolgens betrokken is bij de gegevensverwerking
  • Gevolg: verrijkt gegevensverwerkingsregister

Review policies, contracten, … en pas ze

  • Maak gebruik van de opportuniteit om ook andere wetgevende initiatieven te implementeren: richtlijn bedrijfsgeheimen, cybersecurity, (e-privacyverordening), …
  • Template-risico:
  • wat dienstig was voor iemand anders, is dit niet noodzakelijk voor u
  • 80/20-regel

Gevolg: alle betrokken partijen weten wat hun verantwoordelijkheid is, en wat gedaan