In mei 2018 gaat de General Data Protection Regulation (GDPR) van kracht. Hoewel de tijd dringt, merk ik in mijn werk als vCIO dat veel bedrijven hier laconiek op reageren. Dat is op zijn zachtst gezegd zorgelijk, want je kunt met ernstige gevolgen te maken krijgen, zoals datalekken, imagoschade en torenhoge boetes.
In deze blog bespreek ik 5 grote misvattingen omtrent de nieuwe regelgeving – om ze voor eens en altijd uit de weg te ruimen!
1. Alleen de IT-afdeling hoeft zich druk te maken om de GDPR
Hoe kom je aan persoonsgegevens? Hoe moet je ze bewaren, bewerken en beschermen? Hoe geef je ze door en verwijder je ze? Op zulke vragen moet je volgens de GDPR een helder antwoord kunnen geven. Denk dus niet dat de GDPR alleen de verantwoordelijkheid van de IT-afdeling is. Iedereen die op de een of andere manier in aanraking komt met persoonsgegevens, is bij de regelgeving betrokken. De kans is daarom groot dat je complete bedrijfsprocessen op de schop zal moeten nemen. En die IT-afdeling heb je in sommige gevallen nodig om de noodzakelijke aanpassingen te doen.
2. Compliance: daar zorgt de IT-manager wel voor
Maak je de IT-manager geheel verantwoordelijk voor de GDPR, dan krijgt hij in feite een dubbele functie: hij is eindverantwoordelijk voor gegevensverwerking én hij moet optreden als onafhankelijke controleur van de juridische rechtmatigheid daarvan. Om de betrouwbaarheid van het oordeel te bewaken is het vaak verstandiger om een Functionaris Gegevensbescherming (FG) aan te wijzen voor de laatste taak.
3. De GDPR bevat alleen regels omtrent datalekken en hacks
Hoewel het nieuws anders doet geloven, gaat de GDPR over méér dan datalekken en hacks. Burgers moeten niet alleen meer bescherming genieten, ze dienen ook meer controle over hun eigen data te krijgen. Dit betekent onder andere dat je iemand desgevraagd kosteloos een volledige kopie van zijn persoonsgegevens moet overhandigen binnen 30 dagen. Dat lijkt geen probleem, maar wat doe je als klanten plotseling massaal hun data opvragen? Daarnaast hebben zij ook ‘the right to be forgotten’, wat betekent dat ze mogen eisen dat hun gegevens worden verwijderd. Kun je zo’n verzoek binnen afzienbare tijd afhandelen? Weet je zeker dat alle data dan echt weg zijn (ook uit back-ups) en kun je dat bewijzen? Aan zulke organisatorisch-logistieke vraagstukken moet je nu aandacht besteden om straks een gestroomlijnd compliancetraject te kunnen doorlopen.
4. Voldoen aan de wet (compliance) doe je om boetes te voorkomen
Compliance gaat niet alleen over het voorkomen van schrikbarend hoge boetes. Je beschermt er ook je bedrijfsimago mee. Is er bijvoorbeeld sprake van een datalek dat invloed kan hebben op het leven van de betrokkene, dan moet je het lek niet alleen aan de Autoriteit Persoonsgegevens melden, maar ook aan de betreffende persoon. En aangezien het in zulke gevallen kan gaan over het lekken van creditcardgegevens of BSN-nummers, worden je bedrijfsimago en de vertrouwensrelatie daarmee flink geschaad.
5. Compliance? Dat regel ik wel als het zover is.
De meeste bedrijven stellen complianceactiviteiten uit omdat ze denken dat het traject weinig tijd zal kosten. Ze onderschatten de te treffen organisatorische maatregelen, die dagelijkse bedrijfsprocessen ingrijpend kunnen veranderen. Je moet bijvoorbeeld uitvoerig bekijken of je marketeers nog wel op een correcte manier persoonsgegevens verzamelen en of je salesafdeling goed omgaat met klantgegevens in het CRM-systeem. En vergeet de verplichte technische veiligheidsmaatregelen niet. Je security op het juiste niveau krijgen is géén dagklusje!
Wil je meer weten over de General Data Protection Regulation (GDPR) – of, in het Nederlands, de Algemene Verordening Gegevensbescherming (AVG) – neem dan gerust contact met mij op.
