Heeft u er weleens over
nagedacht hoeveel data er op een dag zoal over en weer gaat? Zeker in
de bouwbranche, waarin we land- en bedrijfsoverschrijdend met elkaar
samenwerken. Grote kans dus, dat ook uw organisatie volop bezig is met
de General Data Protection Regulation (GDPR). Wat betekent deze nieuwe
Europese regelgeving voor al uw data, die zowel intern als extern wordt
gecreëerd, opgehaald en gedeeld?
Misvattingen
Veel bedrijven bevinden zich momenteel in een lastige situatie. Ze hebben een hoop te regelen om GDPR-compliant te zijn, maar de hoeveelheid informatie die on- en offline over dit onderwerp te vinden is, maakt het er niet veel makkelijker op. En dan zijn er ook nog die hardnekkige misvattingen dat slechts het aanpassen van uw cookies of uw algemene voorwaarden afdoende is. Of dat er een tool is die het probleem voor u oplost. Helaas komt er wel iets meer bij kijken. Sterker nog, de impact van de GDPR is héél goed te voelen op zowel organisatie-, proces- als persoonsniveau binnen uw organisatie. En dan met name bij bedrijven die, net als wij, betrokken zijn bij grote en langdurige projecten waarin veel data wordt gecreëerd, beheerd en gedeeld. Organisatie, proces en persoon zullen aan veranderingen moeten geloven. Houd de volgende stappen in het achterhoofd op uw weg naar GDPR-compliancy.
De impact van de GDPR is héél goed te voelen op zowel organisatie-, proces- als persoonsniveau binnen uw organisatie.
Stappen op organisatieniveau
- Zorg ervoor dat de data die u deelt of opslaat encrypted is.
- Neem de tijd voor een riskmanagement-analyse, zeker wanneer u data deelt over de bedrijfsgrenzen heen.
- Breng in kaart wie toegang hebben tot uw projectdata, waarom en wat zij ermee doen.
- Voorkom dat de maatregelen die u invoert uw processen onnodig
vertragen; ze zijn er voor extra bescherming van u en uw partners en
niet om zaken op de lange baan te schuiven.
- Heeft u de benodigde maatregelen eenmaal ingevoerd, neem dan ook de tijd om te testen of ze wel doen wat ze moeten doen.
Stappen op procesniveau
- Leg belangrijke zaken vast: welke maatregelen u getroffen heeft
en wie in welke fase van het project eigenaar is van welke data.
Hiervoor kunt u de standaarden van ISO 27001 en de GDPR als uitgangspunt
nemen. Een duidelijke, geautomatiseerde audit-trail biedt uitkomst.
- Zorg ervoor dat u hardware redundant uitvoert, zodat er altijd een datakopie beschikbaar is in geval van een calamiteit.
- Koppel toegangsrechten aan de inloggegevens op basis van
afdeling, periode of bedrijf, en bepaal zo bij de ‘ingang’ al wie welke
data mag zien en bewerken.
- Houd ook rekening met geïntegreerde data. U wilt immers niet
inboeten op flexibiliteit, maar juist 24/7 toegang tot de projectdata
bieden. Zorg dus dat u precies weet, en vastlegt, vanaf wanneer u
verantwoordelijk bent voor de geïntegreerde data. Maak hierover
afspraken met uw partners waar nodig.
Stappen op persoonsniveau
- Verklein de kans op menselijke fouten. Die zijn namelijk snel
gemaakt, terwijl de consequenties niet altijd onmiddellijk te zien of te
merken zijn – een gevaarlijke situatie. Een digitaal systeem waarbij de
werkprocessen al vastliggen schept duidelijkheid bij de projectleden,
waardoor u menselijke fouten tot een minimum beperkt. Denk hierbij aan
het openen of delen van het verkeerde document, of een document dat per
ongeluk naar de verkeerde persoon wordt verzonden.
- Werk met tokens; elektronische apparaten die eruitzien als een
sleutelhanger en voorzien zijn van een scherm en een drukknop. Door op
deze knop te drukken, wordt een eenmalige cijfercode gegenereerd en op
het scherm weergegeven. Deze cijfercode is het wachtwoord dat een
projectmedewerker op dat moment kan gebruiken om in te loggen in een
bepaald systeem. Wil diegene later nog eens toegang, dan moet hij of zij
een nieuwe code genereren. Een effectieve manier om uw data te
beschermen.