GDPR: deze misvattingen staan compliance in de weg

In mei 2018 is het zover: dan gaat de General Data Protection Regulation (GDPR), ofwel Algemene Verordening Gegevensbescherming (AVG), van kracht. Vanaf dat moment moeten organisaties die persoonsgegevens verwerken aan nog strengere wet- en regelgeving voldoen dat nu het geval is. Toch reageren veel organisaties nog laconiek en wordt het onderwerp omgeven door de nodige misverstanden. Deze 5 bemoeilijken het compliancetraject.

Lees Blog

De tijd begint de dringen voor veel organisaties. Onderzoek toont aan dat veel bedrijven en organisaties nog maar weinig hebben ondernomen om te voldoen aan de Europese privacywetgeving. De consequenties daarvan zijn mogelijk ernstig. Datalekken, imagoschade en hoge boetes van de autoriteiten liggen op de loer voor wie bescherming van persoonsgegevens en compliance niet serieus neemt.

1. GDPR is een probleem van de IT-afdeling

De GDPR stelt eisen aan de verwerking van privacygevoelige data. Omdat het vaak gaat om digitale gegevens, is al snel de neiging het als een zaak voor de IT-afdeling af te doen. Daarmee wordt de invloed van deze wetgeving op organisaties echter schromelijk onderschat.

De GDPR is echt een culturele verandering over hoe organisaties met persoonsgegevens moeten omspringen. Hoe een organisatie aan persoonsgegevens komt, hoe ze deze moeten bewaren, bewerken, beschermen, doorgeven en weer verwijderen. Complete bedrijfsprocessen zullen op de schop moeten. De regels gelden absoluut niet enkel en alleen voor de IT-afdeling, maar voor iedere medewerker die op wat voor manier dan ook in aanraking komt met persoonsgegevens.

2. Compliance ligt in handen van de IT-manager

De GDRP invloed op de interne hiërarchische structuur van een organisatie. Zp is het verplicht om een Functionaris Gegevensbescherming (FG) ofwel veiligheidsfunctionaris in te stellen die verantwoordelijk is voor het opzetten, uitrollen en bewaken van het privacybeleid. Veel organisaties zijn geneigd te wijzen naar hun IT-verantwoordelijke. Hij of zij ‘weet immers het meeste van dataverwerking’.

Toch is dat lang niet altijd de meest verstandige keuze. De IT-manager krijgt zo een dubbele pet op: die van eindverantwoordelijke voor de verwerking van gegevens (IT-manager), maar ook die van onafhankelijk controleur van de juridische rechtmatigheid daarvan (Functionaris Gegevensbescherming). Die dubbele rol komt de betrouwbaarheid en de afhankelijkheid van het oordeel over de verwerking niet ten goede.

Het is dus vaak verstandiger om de rol van FG in handen te leggen bij een ‘neutraler’ persoon die boven de verschillende afdelingen staat. Dat kan bijvoorbeeld de CIO (Chief Information Officer) zijn, of de CDO (Chief Digital Officer), afhankelijk van de samenstelling van de directie en de expertise van individuen.

3. GDPR gaat alleen maar over datalekken en hacken

We geven direct toe: datalekken en hacks van cybercriminelen domineren de krantenkoppen als het gaat over de GDPR. Het ene lek is nog spectaculairder en rampzaliger dan het andere. Maar toch gaat de nieuwe Europese privacywetgeving niet enkel over het beschermen van burgers tegen deze cyberrisico’s.

De GDPR wordt ook ingesteld om burgers meer controle te laten verkrijgen over hun eigen data. Nu mogen organisaties bijvoorbeeld nog geld vragen wanneer iemand een volledige kopie van zijn persoonlijke gegevens wil opvragen. Wanneer de GDPR van kracht is, gaat dat niet meer op: zij moeten gratis en bovendien binnen 30 dagen een volledige kopie kunnen overhandigen.

Voor organisaties is dit absoluut iets om over na te denken. Onder ‘normale’ omstandigheden zal die dertig-dagen-termijn niet zo’n probleem zijn, maar wat wanneer het halve klantenbestand om wat voor reden dan ook ineens er zeker van wil zijn dat zijn of haar data niet ter zielen gaat? Kun je als organisatie ook zo’n piek in de vraag opvangen? Het gevaar bestaat dat in het compliancetraject deze meer organisatorisch-logistieke zaken te weinig aandacht krijgen. Met alle mogelijke gevolgen van dien.

4. GDPR-compliance gaat met name over het voorkomen van boetes

Ja, de boetes onder de GDPR zijn hoog. Heel hoog. De maximale boete onder de huidige privacywetgeving is 820.000 euro. De GDPR zal het maximale boetebedrag meer dan vertienvoudigen, naar niet minder dan naar 20 miljoen euro.

Toch gaat compliance met deze wetgeving niet alleen over het voorkomen van enorme rekeningen. Er is echter nog een andere kwestie met in potentie nog veel verstrekkender gevolgen. Wanneer een datalek mogelijk invloed heeft op het leven van de betrokkene, moet het lek ook aan hem of haar worden gemeld. Denk bijvoorbeeld aan een lek van creditcardgegevens, of zeer gevoelige informatie als seksuele geaardheid. Ook fraudegevoelige data als een BSN is mogelijk zeer riskant voor de betrokkene. Daarmee is bijvoorbeeld identiteitsdiefstal mogelijk, waarbij criminelen onder de identiteit van het slachtoffer allerlei misdaden kunnen plegen die op zijn of haar conto kunnen komen.

Er is geen grote fantasie voor nodig wat een dergelijke melding doet voor het imago en de vertrouwensrelatie tussen de organisatie en de betrokkene. Bij een datalek gaan bovendien vaak veel persoonsgegevens tegelijkertijd gemoeid. Hiermee kan in een klap de goede naam van de organistatie ten gronde worden gericht. Met mogelijk grotere gevolgen dan een eenmalige financiële sanctie.

Overigens is dit aspect niet nieuw: ook onder de huidige privacywetgeving is melding bij de betrokkene in ernstige gevallen verplicht.

5. Compliance is snel realiseerbaar

Veel organisaties schuiven complianceactiviteiten rondom de GDPR voor zich uit. De reden: ze denken dat het traject weinig werk vergt. Dat geldt echter lang niet in alle situaties. Compliance vereist allerlei organisatorische maatregelen die diep kunnen ingrijpen in de dagelijkse processen van allerlei afdelingen. Denk aan de manier waarop de salesafdeling omgaat met klantgegevens in het CRM-systeem, tot aan marketeers die op een andere manier waardevolle persoonsgegevens moeten verzamelen, of zelfs bepaalde acties helemaal niet meer mogen uitvoeren. Dan hebben we het nog niet over de verplichte technische veiligheidsmaatregelen die sommige organisaties moeten nemen om hun security naar een adequaat niveau te krijgen. Dat zijn geen ‘klusjes van enkele verloren vrijdagen’.

Het traject is echter te vereenvoudigen, met de softwareoplossing YourSafetynet. Met deze softwareappliance beschikken bedrijven, overheden, scholen en zorginstellingen over een turn-key oplossing voor het uitrollen en bewaken van een compliant privacybeleid. Voor compliance met de GDPR wordt de software tijdig voorzien van updates met bijgewerkte documenten, sjablonen en procedures.

Meldplicht datalekken: creëer een veilige meldcultuur

Sinds de Meldplicht Datalekken van kracht is gegaan, heeft de Autoriteit Persoonsgegevens tal van meldingen verwerkt. Toch is het zeer waarschijnlijk slechts het topje van de ijsberg. Veel in potentie ernstige datalekken worden onder de pet gehouden, met alle risico’s van dien. Onverstandig: organisaties zijn niet gebaat bij een zwijgcultuur. Maar hoe verander je dat?

Voldoen aan de privacywetgeving: meer dan encryptie en een bewerkersovereenkomst

Het zijn twee veelgehoorde aanbevelingen in de discussie rondom de privacywetgeving: stel een bewerkersovereenkomst op en versleutel gevoelige data. Volgens sommige instanties is dat zelfs voldoende voor compliance. Niets is minder waar: dit zijn slechts twee elementen uit een veel groter pakket aanbevolen of zelfs verplichte maatregelen.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!