speos, gecertificeerd en GDPR-conform

Interview René Bourdouxhe, Data Protection Officer

speos, klaar voor de GDPR 

De nieuwe Europese verordening over de bescherming van persoonsgegevens, of GDPR, is verschenen in het publicatieblad van de Europese Unie. De nieuwe regelgeving gaat van kracht op 25 mei 2018. Het doel? Europa in staat stellen zich aan te passen aan de nieuwe digitale realiteit. Een gesprek met René Bourdouxhe, Data Protection Officer bij speos.

U verwerkt elke dag de gegevens van uw klanten, werknemers en leveranciers. Hoe beschermt u die persoonlijke informatie?

We hebben niet gewacht op de nieuwe GDPR-regels om de kwestie van gegevensbescherming aan te pakken. Sinds 2011 heeft speos een ISO/IEC 27001-certificaat voor het Information Security Management System. De gegevens die we van derden krijgen, maken daar uiteraard deel van uit. De te volgen modellen om dat certificaat te bekomen, hebben ons voorbereid op de toekomstige uitdagingen van informatiebeveiliging.

speos had dus al een voorsprong op andere bedrijven en sectoren?

In zekere zin wel. In 2016 hebben we een werkgroep opgericht om de ins en outs van de nieuwe Europese verordening te analyseren. We hebben een register gemaakt met een schat aan informatie over onze medewerkers, leveranciers en klanten. Voor elke productiewijze (papier en digitaal) hebben we ook de gevoeligheid van de verschillende soorten verwerkte gegevens geanalyseerd en we hebben een impactanalyse uitgevoerd. Elk proces is geverifieerd en gevalideerd voor GDPR-conformiteit.

IT-beveiliging en de bescherming van persoonsgegevens staan al enkele jaren in de aandacht. In welke zin is deze nieuwe regelgeving gunstig voor uw klanten?

Informatiebeveiliging is gebaseerd op voortdurende verbetering. De gerelateerde maatregelen evolueren voortdurend. De GDPR legt bedrijven nieuwe verplichtingen op. De definitie van de rollen, de notie van verantwoordelijkheidsbesef, de impactanalyses en de te nemen veiligheidsmaatregelen zijn maar enkele voorbeelden die het mogelijk maken gegevens in een beter gedefinieerd kader te verwerken. We vragen onze klanten bijvoorbeeld om ons tijdens de testfase geanonimiseerde gegevens te bezorgen. Deze extra beveiliging en meer interne controles garanderen een veiligere gegevensverwerking.

Heel wat klanten doen een beroep op jullie gecentraliseerde data-archiveringsdienst. Heeft die dienst grote veranderingen ondergaan in de aanloop naar de nieuwe regelgeving?

Helemaal niet, want informatiebeveiliging staat al lang centraal in onze strategie. Ons ISO/IEC 27001-certificaat is daar het bewijs van. De meeste van onze systemen en diensten, waaronder ook de gecentraliseerde data-archiveringsdienst, voldoen dus al aan de nieuwe regels.

Uw beveiligingssystemen zijn klaar. En uw medewerkers?

Absoluut! Elk administratief en operationeel departement kreeg of krijgt binnenkort een opleiding over de nieuwe GDPR-verordening. Idem voor onze productieoperators.

Is de GDPR een opportuniteit om uw huidige tools efficiënter te maken?

We analyseren en verbeteren onze beveiligingssystemen en -processen voortdurend. De komst van de nieuwe regelgeving over de bescherming van persoonsgegevens was voor ons vooral de gelegenheid om onze tools en systemen te controleren, te valideren en waar nodig te verbeteren. De grootste opportuniteit van GDPR voor speos? Deze nieuwe wet herinnert ons aan de gevoelige en vertrouwelijke waarde van de duizenden gegevens die dagelijks in ons gebouw worden verwerkt.

Een tip voor uw klanten die meer willen weten over GDPR?

Ik raad onze (toekomstige) klanten van harte aan om 18 oktober 2018 vrij te houden! Het Multichannel Roadmap Seminar 2018 van speos biedt tal van testimonials en debatten over digitalisering en gegevensbeveiliging. Een niet te missen networking event.