Wie binnen de organisatie gaat zich bezighouden met de General Data Protection Regulation (GDPR), ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG)? Dit is vaak de eerste en enige stap die bedrijven tot nu toe hebben genomen ter voorbereiding op de nieuwe GDPR-wetgeving. Want waar moet je vervolgens beginnen? Het is geen kwestie van een knopje indrukken of een vastgesteld stappenplan volgen. Maar op 25 mei van dit jaar wordt de nieuwe wet van kracht en deze datum komt snel dichterbij. Een goed begin is daarom het halve werk, dus hierbij een duwtje in de goede richting.
De GDPR-wetgeving verplicht bedrijven die in het bezit zijn van persoonsgegevens van Europese burgers eerlijk, open en transparant te zijn over hun digitale praktijken. Dit ter bescherming van de rechten van deze personen. Een goede zaak, maar voor veel organisaties een monsterklus. Dit is dan ook de belangrijkste reden waarom nog niet alle bedrijven in Nederland GDPR-ready zijn.
Maak van de monsterklus een overzichtelijke kleinere klus
Het helpt om de monsterklus af te pellen en op zoek te gaan naar de belangrijkste knelpunten. Doe onderzoek naar welke applicaties het meest waarschijnlijk zullen worden gebruikt om toegang te krijgen tot persoonlijke gegevens. Zo kom je erachter wat de belangrijkste pijnpunten zijn. In een groot bedrijf worden gemiddeld maar liefst 11.000 verschillende softwareapplicaties gebruikt – zowel op locatie als in de cloud. Dit is een enorme hoeveelheid applicaties om een voor een onder handen te nemen.
Breng daarom eerst in kaart welke applicaties het grootste risico en welke een klein risico vormen. Scan welke applicaties toegang hebben tot welke gegevens, waar deze in de organisatie gebruikt worden en door wie. Dit laat zien dat sommige applicaties waarschijnlijk een hoger GDPR-risico bevatten dan andere applicaties. In plaats van 11.000 applicaties te onderzoeken en rapporteren, blijven er dan bijvoorbeeld nog maar 500 over. Nog steeds een grote taak, maar nu wordt de monsterklus wel een stuk overzichtelijker.
Begin met de belangrijkste verplichtingen
Voor organisaties die nu nog weinig tot geen vooruitgang hebben geboekt op het gebied van GDPR-compliance, is het bijna onmogelijk om nog voor 25 mei volledig GDPR-ready te zijn. Dit betekent niet dat je als organisatie de handdoek in de ring moet gooien. Door te concentreren op wat wél voor 25 mei kan worden aangepakt, maak je je als organisatie een minder aantrekkelijk doelwit voor de toezichthouders van de GDPR-wetgeving.
Organisaties kunnen zich het beste richten op de Record of Processing Activities (RoPA, artikel 30 van de verordening). Dit artikel richt zich op de vijf belangrijkste verplichtingen van de GDPR-wetgeving. Denk hierbij aan het aanstellen van een Functionaris Gegevensbescherming en het beschrijven van de verschillende data-categorieën die binnen het bedrijf bestaan.
De deadline van 25 mei is slechts het begin en zeker niet het einde. Er bestaan al wachtlijsten van organisaties die toezichthouders volledig willen onderzoeken. Gelukkig voor deze organisaties zijn de kantoren van regelgevende instanties meestal onderbezet en ontbreekt het aan de middelen die nodig zijn om elke aanleiding te volgen. Als organisaties het GDPR-project niet op tijd kunnen afronden, dan is het nemen van grote stappen om de juiste intenties van de organisatie te tonen van belang om een minder aantrekkelijk doelwit te zijn.
Angus Cameron is Regional Business Manager bij Snow Software
> Klik hier voor meer blogs