Door: Janus de Visser
Op het moment van schrijven zijn we twaalf maanden verwijderd van de actieve handhaving van de General Data Protection Regulation (GDPR) ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Kostbare tijd voor organisaties om zich voor te bereiden, maar hoe pakt u dat nou het beste aan?
Tussen de vele samenvattingen en strategische aanbevelingen missen wij nog wat. Daarom heeft Adversitement twaalf pragmatische stappen geïdentificeerd die elke onderneming, groot of klein, moet ondernemen voor de komst van de GDPR.
Stap 1. Bewustwording
De GDPR is een van die wetten die voor grote opschudding zorgt. Een nieuwe privacywetgeving met invloed op uw gehele organisatie. Het gaat namelijk in de basis om informatie en dat verplaatst zich door de gehele operatie, ook ver buiten de kaders van de afdeling juridische zaken.
De eerste stap in de weg naar een GDPR voorbereide organisatie is zorgen dat de juiste mensen in de organisatie op de hoogte zijn van de eisen. Deze sleutelfiguren moeten een inschatting maken van de consequenties op onderdelen van de organisatie en de next best actions bepalen.
2. Data stream map
Niet volledig op de hoogte zijn is geen optie meer! Begin met het formuleren van een Data Stream Map en documenteer zo alle verwerkingen van (persoons)gegevens in de data infrastructuur van de organisatie, inclusief die zijn uitbesteed. Een informatieaudit zal resulteren in een goed overzicht en zorgen voor de door de autoriteiten verplichte documentatie. Focus hierbij niet enkel op human resources of CRM-systemen, maar ook op alle digitale kanalen en bijbehorende marketingtools.
Maak gebruik van de Data Life Cycle om de juiste vragen te stellen en boven tafel te krijgen hoe data zich beweegt door de organisatie.
3. Communicatie
De tijd van onduidelijkheid en ondoorzichtigheid is voorbij. De GDPR vereist het helder en transparant verschaffen van inzicht zodat iedere klant, werknemer of gebruiker begrijpt wat er gebeurt met persoonsgegevens.
De Data Stream Map is de basis voor het herzien en aanvullen van het privacy statement. Doe dit ook direct voor online analytics en e-commerce activiteiten, zeker met de verwachte e-Privacy Regulation wat grofweg een Europa-brede cookie-wetgeving gaat worden.
4. Rights of the subject
Naast de Data Stream Map zijn de rechten van betrokkenen het meest complexe en kostbare deel van GDPR. Europeanen krijgen met betrekking tot persoonsgegevens het recht op; informatie, inzage, rectificatie, overdraagbaarheid, gegevenswissing en recht op bezwaar.
Deze rechten zijn een uitdaging voor bijna alle tools, systemen en niet-digitale data. Het is onze ervaring dat bedrijven door vele externe dienstverleners op dit moment niet compliant kunnen zijn aan de GDPR. Vereis daarom van dienstverleners dat ze uw organisatie in staat stellen het verwerken te stoppen, wijzigingen aan te brengen, data te transporteren, inzicht te verschaffen en gegevens te verwijderen. Dit kan uiteindelijk zelfs resulteren in een wissel van dienstverlener. Een organisatie kan het zich niet permitteren om dergelijke risico’s te lopen of de organisatie te belasten met het handmatig naleven van deze rechten.
5.Legitieme Basis
De GDPR vereist voor het verwerken van persoonsgegevens een rechtmatige basis. Zo zijn er gevallen dat u toestemming moet krijgen, maar er zijn ook gevallen dat u verplicht bent persoonsgegevens te verwerken. Denk daarbij bijvoorbeeld aan financiële documentatie voor de Belastingdienst. De rechtmatige basis voor elke dataverwerking documenteert u idealiter ook in de Data Stream Map.
6. Consent
‘Een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting’ waarmee iemand instemt met de verwerking van persoonsgegevens. Met deze vereiste toestemming beschermt de GDPR onze gegevens en geeft het bedrijven de mogelijkheid om data te verwerken.
Let wel dat de GDPR voor-ingevulde keuzeopties, inactiviteit of gebruik niet meer ziet als impliciete toestemming. Dus opt-in en niet opt-out!
Om voor te bereiden op de GDPR adviseren we te kijken naar hoe toestemming wordt gevraagd, verkregen én geregistreerd. Uiteindelijk zal u namelijk moeten kunnen aantonen, bijvoorbeeld aan een autoriteit, dat de persoon toestemming heeft gegeven.
7. Datalekken
Mail naar verkeerde personen, data in verkeerde databases, verloren apparaten en hackers die inbreken. Allemaal veel voorkomende datalekken. De GDPR vereist dat organisaties processen hebben om: datalekken te herkennen, binnen 72 uur te melden bij de autoriteit en betrokkenen in te lichten als het kan leiden tot schade.
De stap hier is om processen en verantwoordelijkheden te bepalen en te documenteren. De organisatie moet kunnen bewijzen correct te handelen bij een datalek. Deze documentatie is overigens ook voor cyberverzekeringen. Volgens IBM kost een datalek vier miljoen dollar en Oxfords Economics noemde twee procent beurswaarde daling door reputatieschade. Datalekken zijn dus kostbaar en om kosten te claimen zal een organisatie aan moeten kunnen tonen alles te hebben gedaan om de schade te voorkomen.
8. Data Protection by Design, by default & Privacy Impact Assessments
Een persoonlijke favoriet is de nadruk op het beschermen van gegevens volgens de principes van Privacy-by-Design. Een methode is het uitvoeren van Privacy Impact Assessments (PIA), wat een risicoanalyse is voor gegevensverwerking, zodat bij hoger risico ingegrepen kan worden.
Data Protection-by-Design gaat over gegevensbescherming door versleutelen en minimaliseren van gegevens. Data Protection-by-Default vereist dat privacybeschermende opties standaard aanstaan, bijvoorbeeld in apps. Opt-in in plaats van opt-out!
De pragmatische stap is om uw organisatie te trainen in deze methodes.
9. Data Protection Officer
De Data Protection Officer (DPO) zorgt intern voor naleving van de GDPR en is contactpersoon voor autoriteiten. De ondergrens van 250 medewerkers of 5000 datarecords uit de eerste versies staat niet meer in de GDPR, maar is wel een goede richtlijn dat uw organisatie een DPO moet hebben.
10. Internationaal
Internationaal actieve organisaties hebben een leidende data protection autoriteit. Dit is doorgaans de autoriteit uit het land waar het hoofdkantoor staat. In Nederland is dat natuurlijk de Autoriteit Persoonsgegevens. Dit neemt overigens niet weg dat lokale wetgeving komt te vervallen.
11. Contracten
Waarschijnlijk is een groot deel van de dataoperatie belegd bij externe serviceproviders. Wij adviseren om contracten te inspecteren en uit te breiden met verwerkersovereenkomsten. De Data Stream Map moet afdoende informatie bieden om te weten welke partijen betrokken zijn.
12. Rulebook
Het naleven van de GDPR is niet een eenmalige actie, maar een continu proces. Alle voorgaande elf stappen moeten daarom ook een vanzelfsprekend onderdeel worden van de dataoperatie. Leg daarom kaders, processen en verantwoordelijkheden vast in een Data Governance Rulebook.
Adversitement werkt inmiddels met diverse opdrachtgevers aan het implementeren van bovenstaande stappen. Deze klanten zien met vertrouwen het komende jaar én de toekomst na 25 mei 2018 tegemoet. Waarom zou u nog langer wachten? U kunt met ons direct aan de slag: www.adversitement.com
Janus de Visser is Business Consultant Data Governance