Op 25 mei 2018 moet iedere organisatie voldoen aan de Algemene Verordening Gegevensbescherming (AVG) ofwel de GDPR. Voor wie nu nog moet beginnen is dat een bijna onmogelijke taak. Niet voldoen is geen optie. De Europese verordening heeft rechtstreekse werking en is dus wet. ICT/Magazine loopt de vier ingewikkelde onderdelen van de nieuwe regelgeving langs met een blik op ICT.
Waar vroeger een toezichthouder vragen ging stellen, moet u nu zelf kunnen aantonen dat u aan de eisen voldoet. Zakelijk noemen we dat compliance. De regelgeving heeft het over ‘accountability’ en dat voert nog iets verder. Het testen van de compliancy legt bloot waar het mogelijk nog aan schort.
Op die punten waar niet aan de verordening wordt voldaan, moet de organisatie wel een verhaal hebben. De AVG – in het Engels GDPR (General Data Protection Regulation) – is erg streng. Het jaar dat resteert zult u dan ook hard nodig hebben om aan te tonen dat uw gegevensverwerking compliant is.
Een hele toer
Zo moet bijvoorbeeld bekend zijn welke persoonsgegevens er allemaal worden verwerkt. Dit geldt voor organisaties met meer dan 250 medewerkers of waar met gevoelige persoonsgegevens wordt gewerkt. Hiertoe moet bekend zijn wat er allemaal in huis is. Het in kaart brengen van de reguliere systemen is soms al een hele toer, maar wat te denken van de persoonlijke spreadsheets en databases waarin medewerkers hun eigen informatie bijhouden? Natuurlijk zijn daar tools voor beschikbaar die directories nalopen op bestanden met mogelijke persoonsgegevens. Alleen zal een ondernemingsraad niet blij zijn als de werkgever de directories van medewerkers gaat doorzoeken. Daar moet dus wel iets geregeld worden.
Accountability
De eenmaal gevonden rekenbladen, losse bestanden en databases voldoen in veel gevallen niet aan de verordening. Rekenschap (accountability) betekent – onder omstandigheden – namelijk ook bijhouden wanneer gegevens zijn benaderd en waarom. In de praktijk betekent dit dat veel van de houtje-touwtje-oplossingen niet voldoen en eigenlijk in een systeem moeten worden ondergebracht dat wel voldoet. Bovendien moeten de medewerkers worden geïnstrueerd hoe zij vanaf nu moeten administreren wanneer en waarom zij bepaalde gegevens benaderen.
Ook ten aanzien van data-analyse en (big) datasystemen moet aan te tonen zijn dat uw organisatie daadwerkelijk voldoet aan de regelgeving.
