Het kan je bijna onmogelijk zijn ontgaan dat binnenkort de nieuwe Europese privacywet GDPR – ook wel Algemene Verordening Gegevensbescherming (AVG) – in werking treedt. Daarmee is de tijd van tips en waarschuwingen voorbij: op 25 mei 2018 moeten alle bedrijven dit daadwerkelijk hebben doorgevoerd.
De organisaties die hiermee te maken krijgen, bevinden zich in verschillende fases: de een is er al vanaf het begin mee bezig, terwijl de ander net begonnen is. Als je bij deze laatste groep hoort, is er nog niks aan de hand. Wel is het dan van belang om je op de belangrijkste punten te focussen. Ik leg je in vijf stappen uit hoe je zo snel mogelijk alsnog kunt voldoen aan de nieuwe wet.
Stap 1 – Leer de belangrijkste basistermen
De GDPR-wetgeving kent veel verschillende begrippen, dit zijn de belangrijkste die je het beste uit je hoofd kunt leren:
Data Controller: De persoon die de doelen, voorwaarden en middelen voor de verwerking van persoonsgegevens bepaalt.
Data Processor: De partij die de data verwerkt namens de Data Controller.
Data Subject: Een persoon waarvan de data wordt verwerkt door een Controller of Processor.
Recht om vergeten te worden: Dit geeft burgers van de Europese Unie het recht om zijn/haar persoonsgegevens te laten wissen en de verdere verspreiding van deze gegevens te stoppen. Dit geldt ook voor de verwerking van deze gegevens door derden.
Privacy by Design: Wanneer nieuwe systemen ontworpen worden, moet er vanaf het begin rekening worden gehouden met de implementatie van gegevensbescherming.
Tip: Negeer de waarschuwingen. Veel GDPR-consultants en softwareleveranciers waarschuwen over de maximumboete van twintig miljoen euro of vier procent van de jaarlijkse inkomsten. Je krijgt boetes van deze omvang echter alleen bij herhaalde ernstige overtredingen. Incidentele sancties zullen veel lager zijn of, nog waarschijnlijker, het blijft bij een waarschuwing. Dat wil niet zeggen dat je de nieuwe wet met een korreltje zout moet nemen, want het echte risico is dat je veel tijd verspilt aan het reageren op vragen van regelgevers. Hiermee gaat tijd verloren die je eigenlijk aan bedrijfsdoelstellingen wilt besteden.
Stap 2 – Focus op de belangrijkste artikelen
De GDPR-wetgeving wordt in 99 artikelen omschreven. Dit zijn er nogal wat, dus concentreer je op de drie belangrijkste:
Artikel 30: Records of processing activities (RoPA). De RoPA focust zich op de vijf belangrijkste verplichtingen van de GDPR-wetgeving. Denk hierbij aan het aanstellen van een Functionaris Gegevensbescherming en het beschrijven van de verschillende data-categorieën die binnen het bedrijf bestaan.
Artikel 32: Beveiliging van de gegevensverwerking. In artikel 32 zijn de “Technische en organisatorische maatregelen” opgenomen. Hierin staat dat organisaties “passende technische en organisatorische maatregelen moeten nemen om een op het risico afgestemd veiligheidsniveau te waarborgen”.
Tip: Er is geen perfecte manier. Bedrijven vertellen graag dat je volledig “GDPR ready” wordt door hun beveiligingssoftware te kopen. De waarheid is dat we nog niet weten hoe toezichthouders zullen handhaven. Het is belangrijk om alle stappen die genomen zijn te documenteren. Dit zal helpen tijdens eerste controle.
Artikel 35: Data Protection Impact Assessment (DPIA). De DPIA registreert de gegevensverwerking en de beschermingsmaatregelen die voor deze verwerking zijn getroffen.
Stap 3 – Benoeming van een functionaris gegevensbescherming (Data Protection Officer)
Niet elke organisatie zal een functionaris nodig hebben, maar het is nu wel echt tijd om te bepalen of je er een nodig hebt: je bent immers niet het enige bedrijf dat op zoek gaat naar de invulling van deze functie. Een functionaris gegevensbescherming is in ieder geval vereist voor alle overheidsinstanties en organisaties die regelmatig op grote schaal persoonsgegevens of gevoelige informatie verwerken.
De GDPR-wetgeving is niet heel specifiek over wat termen als ‘grootschalig’ en ‘gevoelig’ betekenen. Een functionaris is sowieso nodig als een bedrijf tracking of profiling toepast bij het verzamelen van persoonsgegevens; op deze manier kan een bedrijf het surfgedrag van internetbezoekers bepalen om vervolgens reclames af te stemmen op hun interesses.
Stap 4 – Maak GDPR zichtbaar in de organisatie
De meeste organisaties die bezig zijn om GDPR-compliant te worden, begrijpen het belang van het identificeren van de locatie van alle persoonsgegevens. Ze richten zich op systemen als SAP, Oracle-databases en middleware, Marketo en Salesforce. Maar dit zijn vaak niet alle systemen binnen het bedrijf die persoonsgegevens verwerken. De meerderheid van de applicaties wordt niet meteen meegenomen door het GDPR-team. Dit komt omdat ze vaak onzichtbaar zijn. Ze zijn aangekocht door losse afdelingen die weinig betrokkenheid hebben met de IT-afdeling.
Je kunt er dus niet zomaar vanuit gaan dat je alle gegevens in kaart hebt gebracht. Gebruik tools die alle archieven met persoonlijke gegevens in de hele onderneming af gaan, om te controleren of er geen onbekende plek is die je misschien over het hoofd ziet.
Pro-tip: Pas op voor mobiele telefoons. Alle technologieën voor de verwerking van persoonsgegevens worden gereguleerd door de GDPR, dus ook mobiele apparaten. Deze apparaten houden niet alleen persoonsgegevens bij, maar verwerken ook informatie over de gebruiker.
Stap 5 – Mensen, processen en technologie
Er is geen wondermiddel voor de naleving van GDPR. Er is geen enkele applicatie of consultant die ervoor zorgt dat de naleving altijd perfect is. De naleving van GDPR vergt een combinatie van mensen, processen en technologie.
Mensen
Het is belangrijk om een team voor GDPR op te zetten, bestaande uit de functionaris gegevensbescherming, IT-leiders en bedrijfsleiders van diverse functies, waaronder Compliance, Legal, HR, Customer Service en Marketing.
Verwerking
Zodra het team heeft vastgesteld welke persoonlijke gegevens worden gebruikt, moeten ze dit inzicht delen met de hele organisatie. Daarnaast moeten privacyregels worden gedocumenteerd en gedeeld over alle bedrijfsonderdelen heen.
Technologie
Er zijn een aantal oplossingen die de naleving van de GDPR kunnen versnellen en in stand kunnen houden. Bijvoorbeeld systemen die het beheer van verzoeken van personen kunnen behandelen, systemen voor het opsporen van gegevens, Identiteits- en Access Management om bij te houden wie toegang heeft tot welke gegevens en Software Asset Management die de gebruikers en de apparaten in kaart brengen.
Om compliant te worden is er dus volledig inzicht in de onderneming nodig. Mensen moeten zichtbaarheid creëren in de hele onderneming en ervoor zorgen dat de verwerking door iedereen in de organisatie juist wordt nageleefd.
Angus Cameron is Regional Business Manager bij Snow Software
> Lees ook Nog niet gestart met de GDPR? Een goed begin, is het halve werk!