Ondanks de Nederlandse voorsprong met de meldplicht datalekken valt er nog veel werk te doen om GDPR-compliant te zijn. Het behelst veel meer dan een IT-implementatie of een managementvinkje op een checklist.
De klok tikt gestaag door voor de GDPR of AVG (Algemene Verordening Gegevensbescherming). Met ingang van 25 mei 2018 treden strengere EU-regels voor databescherming in werking. De AVG vervangt de meldplicht datalekken die in Nederland sinds 1 januari 2016 van kracht is. Deze eigen implementatie in Nederland heeft de nodige ervaring opgeleverd met betere data- en privacybescherming. Echter betekent dat niet automatisch dat wij een voorsprong hebben of beter voorbereid zijn op de GDPR.
Ervaringen sinds 2016
Toezichthouder AP (Autoriteit Persoonsgegevens) maakte eerder de balans op. In het eerste jaar van de Nederlandse meldplicht zijn bijna 5500 meldingen gedaan. Uit een vorig jaar uitgevoerd nationaal onderzoek ‘Meldplicht datalekken in de praktijk’ blijkt dat het schort aan meldingen én aan bewustzijn over de meldplicht. Bijna de helft (41 procent) van de organisaties heeft een datalek niet of niet tijdig gemeld aan de AP. Verder weet 26 procent van de ondervraagde organisaties niet of een datalek wel is gemeld. Positief is dat 33 procent wel aan de meldplicht heeft voldaan.
De bevraagde organisaties blijken te worstelen met de meldplicht die sinds begin 2016 geldt. Lang niet alle bedrijven en instanties hebben hun meest recente datalekken gemeld aan de AP. Vrees voor reputatieschade speelt hierbij een prominente rol. Onwetendheid, een eigen interpretatie van de regels en/of onduidelijkheid zijn andere redenen voor het niet melden.
Achterlopen op de wet
Kortom, slechts een minderheid van de organisaties is goed voorbereid op de meldplicht datalekken. Deze conclusie is getrokken op basis van de stand van zaken eind 2016, toen de Nederlandse wet al bijna een jaar van kracht was. Daar komt over zo’n negen maanden de EU-verordening bovenop, die dan de Nederlandse meldplicht vervangt. De GDPR is veel strenger vanwege meer verplichtingen, zoals de aanstelling van een Data Protection Officer (DPO) en het bijhouden van een register door dataintensieve organisaties.
De EU-verordening voorziet in veel hogere boetes die nationale toezichthouders kunnen uitdelen voor schending van de meldplicht óf voor geconstateerde nalatigheid in de vereiste gegevensbescherming. Boetes tot twintig miljoen euro of – indien dat hoger uitvalt – vier procent van de wereldwijde omzet. De AP heeft al gewaarschuwd voor die hogere boetes.
Fouten maken mag, verbergen is een doodzonde
Mentaliteitskwestie
AVG compliance komt neer op meer dan alleen technische middelen, zoals firewalls, beveiligde verbindingen en data-encryptie. Het nationale onderzoek naar het eerste jaar Nederlandse meldplicht onthult namelijk ook dat datalekken intern lang niet altijd boven water komen. Werknemers vrezen voor disciplinaire maatregelen en melden dataverlies niet aan hun leidinggevenden. Hierdoor hebben organisaties zelf geen weet van datalekken en kunnen ze die ook niet melden bij de toezichthouder.
Wanneer organisaties succesvol willen zijn in het beheersen van datalekken zullen ze eerst inzicht moeten krijgen in hun gegevensstromen en de verwerking daarvan. Vervolgens kunnen er noodzakelijke aanpassingen worden gedaan. Bijvoorbeeld dataminimalisatie om de gegevensverzameling en -verwerking te beperken tot dat wat echt nodig is. Immers, hoe minder data, hoe minder risico.
Huis op orde hebben
“Vraag jezelf af: moet ik dit echt allemaal bewaren?”, adviseert advocaat Friederike van der Jagt van Hunter Legal. Zij is één van de sprekers op het IIR-congres ‘Implementatie AVG’ dat op 12 en 13 oktober plaatsvindt. “Veel bedrijven bewaren data eeuwig, maar dat brengt onnodige kosten voor storage met zich mee en vergroot de kans op een datalek. Schoon daarom je databestanden op en kijk welke data weg kunnen. Dat is nooit een zinloze exercitie. Je ruimt als het ware je huis op.”
Deze en andere praktische maatregelen gelden niet alleen intern, maar ook voor externe partners weet webwinkel Coolblue die zijn dienstverlening door derden ‘AVG-proof’ maakt. Coolblue is één van de organisaties die over haar GDPR-aanpak vertelt op het aankomende IIR-congres. Organisaties moeten een open cultuur rondom lekken en het melden daarvan creëren. Fouten maken mag, maar verbergen is een doodzonde.
Register bijhouden, DPO aanstellen
Voor AVG compliance is het nodig om de rollen en verantwoordelijkheden helder te maken. Bijvoorbeeld voor het correct bijhouden van het register met gegevensverwerkingen, wat AVG-verplichtingen zijn voor organisaties met meer dan 250 werknemers. Het verwerkingenregister is op zichzelf al een flinke uitdaging, weet een internationaal bedrijf als FrieslandCampina dat ook spreekt op het aankomende IIR-congres.
Een belangrijke rol is weggelegd voor de DPO. AVG-ervaringskundige Coolblue heeft deze spilfunctie al in een vroeg stadium aangesteld. “Een bedrijf met ruim 2500 medewerkers en gemiddeld 13.000 orders per dag moet een DPO hebben. Dat verwacht de buitenwereld ook. Als er vragen zijn over privacy, dan moet een DPO die kunnen beantwoorden”, aldus Legal Counsel Cassandra Moons, die spreekt op het IIR-congres.
Flinke implementatieklus
Voldoen aan de meldplicht nu en de AVG straks gaat veel verder dan de implementatie van een IT-securityoplossing, het formuleren van beleid, of het intern benadrukken van het belang van databescherming. Het is geen IT-feestje, geen management-exercitie en geen HR-zaak. Het is dat alles bij elkaar opgeteld, met daarbij juridische aspecten en de component van risk management. Deze organisatiebrede omslag met strategische impact behelst een flinke implementatieklus. FrieslandCampina, Coolblue en andere AVG-experts delen hun ervaringen en inzichten voor deze Herculestaak.
Tweedaags Actualiteitencongres en AVG workshopdag
Het voldoen aan uw verplichtingen onder de AVG vereist een groot aantal maatregelen op strategisch, organisatorisch en technisch gebied.
Op het IIR-congres Implementatie AVG nemen voorlopers als Coolblue, NS, PostNL, Achmea Bank, Vodafone, Alliander en gemeente Utrecht u mee langs de noodzakelijke maatregelen.
Er zijn break-out sessies en workshopssessies over:
- Governance frameworks en de te gebruiken strategie
- Tooling: voor- en nadelen van tooling voor uw governance structuur
- Documentatieplicht, opzetten van verwerkingsregister
- Rechten van betrokkenen: dataportabiliteit, recht van vergetelheid, profiling
- Ervaringen met de toezichthouder, inzicht in de werkwijze van de AP
- DPIA’s uitvoeren op high risk processen
- Awareness en draagvlak creëren binnen de organisatie
- Fast track: minimale noodzakelijke maatregelen voor AVG-compliance
- Noodzakelijke kennis & vaardigheden voor de DPO/FG
Jeroen van den Hoven, Hoogleraar TU Delft vertelt in zijn keynote over de toekomst van AI, Robotica, Internet of Things en de uitdagingen voor de DPO/FG
Kortom: veel praktische handvatten en tips van experts waarmee u zich goed op de AVG voorbereidt en tijdig aan uw EU verplichtingen kunt voldoen. Zie ook www.iir.nl/avg