De Algemene Verordening Gegevensbescherming wordt vanaf mei 2018 gehandhaafd. Wat moeten bedrijven ondernemen om tegen die tijd compliant te zijn?
Er is veel te doen om de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet die zo’n beetje ieder bedrijf raakt. De wet wordt vanaf mei volgend jaar gehandhaafd. Wat moeten bedrijven ondernemen om tegen die tijd compliant te zijn? Heel veel, zo blijkt. Het wordt druk op de markt. Wat staat ons te wachten?
General Data Protection Regulation
De General Data Protection Regulation (GDPR) zoals de AVG in ons land heet, is in het leven geroepen om de consument te beschermen tegen het ongebreideld verzamelen, gebruiken en vasthouden van data door bedrijven. De bekendmaking van de wet op 27 april 2016 is het sluitstuk van een proces dat in 2010 is ingezet. Iedereen in Europa moet zich aan de wet houden, naleving start echter pas vanaf 25 mei 2018. Maar wat doet de AVG? De AVG regelt de privacy rond persoonsgegevens. Dat zijn de gegevens die direct of in combinatie met elkaar leiden tot identificatie van personen. Het gaat om heel gewone data: naam, woonplaats, telefoonnummer… dat soort gegevens. Maar ook CV’s, foto’s, bankgegevens van klanten en medewerkers, social media-posts van medewerkers en e-mail. Kortom, zo’n beetje alles wat rondgaat in een bedrijf.
Als de handhaving eenmaal van start gaat, kunnen de opgelegde boetes hoog zijn: voor bedrijven kunnen die oplopen tot 4% van hun wereldwijde jaaromzet dan wel een maximale boete van 20 miljoen euro. Het hoogste bedrag telt. Dit klinkt schrikbarend, en dat is ook juist het effect dat de wetgever hiermee wil bereiken. Maar wees gerust. Deze boetes zullen er niet komen, tenzij er kan worden aangetoond dat er sprake is van grove nalatigheid door het bedrijf. Desondanks is het verstandig om zo snel mogelijk je compliance op orde te hebben, gezien uit ervaring is gebleken dat de doorlooptijd hiervoor ontzettend lang is.
De weg naar AVG compliance
De AVG stelt aanvullende eisen, en deze draaien allemaal om aantoonbare data governance binnen het bedrijf. Een bedrijf moet kunnen aantonen welke gegevens zij bewaart, waar, en hoe lang. Een bedrijf moet kunnen aantonen waarom zij deze gegevens bewaren, met een legitieme grondslag en bewijsbare toestemming van de betrokkene. Een bedrijf moet kunnen aantonen dat zij weet wat ze moeten doen wanneer er zich een datalek voordoet.
Daarbij verandert de verhouding tussen een bedrijf en degene die voor hen gegevens beheert of verwerkt. Een bedrijf mag enkel en alleen zaken doen met verwerkers die voldoende maatregelen hebben getroffen om AVG-compliant te zijn.
In vier stappen naar compliance
Stap 1: Inventarisatie
Welke persoonsgegevens bevinden zich binnen de organisatie? Hoe ziet het volledige datalandschap van het bedrijf eruit? Welke risico’s rond privacy van betrokkenen vormen deze persoonsgegevens?
Stap 2: Registratie
Maak een register voor het verwerken van persoonsgegevens: binnen welke systemen komen welke persoonsgegevens voor? Waarvoor gebruikt mijn bedrijf deze persoonsgegevens? Heeft de betrokkene toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens?
Stap 3: Bescherming
Zijn de juiste maatregelen genomen om datalekken te voorkomen? Heb ik mijn data gepseudonimiseerd of geanonimiseerd? Wordt data automatisch verwijderd zodra de bewaartermijn is verstreken? Zijn medewerkers op de hoogte van de privacywetgeving en het risico van datalekken? Weten medewerkers hoe zij datalekken kunnen herkennen en wat van hen verwacht wordt?
Stap 4: Monitoring
Hoe blijven de gegevens beveiligd? Door wie wordt geprobeerd toegang te krijgen tot mijn data? Hoe kan technologie ervoor zorgen dat persoonsgegevens veilig blijven opgeslagen?
Er is een hoop te doen
Het mag duidelijk zijn dat bij ieder bedrijf heel wat werk moet worden verzet om compliant te worden. Uit onze advieservaring met de Meldplicht Datalekken binnen de Wet Bescherming Persoonsgegevens (de voorloper van de AVG) die op 1 januari 2016 is ingevoerd, weten we hoeveel tijd en moeite het vergt om compliant te worden. De IT-manager van een van onze klanten gaf aan dat hij en zijn medewerkers vanaf de start van het project begin 2017 de helft van hun tijd kwijt zijn aan de voorbereidingen op de invoering van de AVG.
Onze ervaring met data-inventarisatie heeft uitgewezen dat de meeste bedrijven weinig gevoel hebben bij wat er allemaal precies aan data wordt verzameld en opgeslagen. En dan bedoelen we niet wat er in de primaire bedrijfsapplicaties zit, want dat is bekend. Maar vooral de telefoonlijstjes, de zelfgebouwde databases, de e-mailpostbussen, en wat te denken van de losse bestanden op de desktop... Het gaat niet alleen om hoe en waar de data zijn opgeslagen, maar ook met wie en wat ze worden gedeeld. In de meeste gevallen vinden datalekken niet plaats door hackers, maar juist door nalatigheid van medewerkers die bijvoorbeeld privacygevoelige informatie op USB sticks bewaren en deze vervolgens kwijtraken.
De essentie van de wetgeving is dat vanaf nu van bedrijven wordt verlangd dat ze meer weten over de data die ze verzamelen, dat ze kunnen laten zien dat ze persoonsdata beschermen, dat ze toestemming of een gerechtvaardigd belang hebben en dat ze alleen de data opslaan zolang als dat nodig is voor het doel van de verwerkingen.
Valid & de AVG
Wat onze job zo interessant maakt, is dat we in onze rol als Business Intelligence specialisten ook een steentje bij mogen dragen aan privacy compliance. We krijgen de ruimte en de mogelijkheden om klanten te helpen hun gegevensbeveiliging op orde te brengen. We helpen ze om voorbereid te zijn op de AVG. Het stopt ook niet bij advies, maar door de combinatie van verschillende expertises van onze collega's zijn we daadwerkelijk in staat om die expertise om te zetten naar passende technische- en beleidsinfratstructuur die nodig is om compliant te zijn: datamanagement, privacybewustzijn en het bewaken en beveiligen van netwerken, systemen en applicaties.
Daarnaast dient Valid natuurlijk zelf ook compliant te zijn. We zijn verwerker van data van veel van onze klanten. Onze ISO27001 certificering onderstreept dat we dit goed geregeld hebben. Ook wij hebben er belang bij dat onze klanten hun zaken goed voor elkaar hebben. Compliance is de gedeelde verantwoordelijkheid van de klant als verantwoordelijke en Valid als verwerker.
Katalysator voor bedrijfshygiëne
In feite is de AVG een katalysator voor betere bedrijfshygiëne, voor het verantwoord omgaan met de gegevens van derden. Daarnaast is het ook een uitstekende mogelijkheid om het privacy bewustzijn opnieuw onder de aandacht te brengen bij medewerkers en het beleid hierop aan te scherpen. Het zal de nodige tijd en energie kosten om de zaken goed voor elkaar te krijgen, maar het resultaat zal positief uitstralen op andere domeinen van de bedrijfsvoering: betere kwaliteit van de gegevenshuishouding, minder beslag op IT-resources en een goede reputatie.
Maar één ding is zeker: een gefaseerde aanpak is eigenlijk de enige manier om de "compliancy deadline" van mei 2018 nog te halen. Het wordt echt tijd om in de actie-modus te schieten! Nog niet helemaal zeker over de vraag: Hoe? Laat het weten, we helpen je graag voorop lopen.
In onze volgende blog gaan we verder in op wat een bedrijf moet doen om compliant te worden. Blijf ons volgen!
Klik hier voor meer informatie over Valid's AVG dienstverlening.
