Waarom "GDPR Compliancy" geen status, maar een streven is

  • 6 minuten
  • 25 mei 2018
  • GDPR

Klaar of net begonnen?

"Uit onderzoek blijkt dat slechts 42 procent verwacht klaar te zijn voor de strengere privacyregels. Dat percentage ligt zelfs nog lager dan een jaar geleden (52 procent), toen veel organisaties nog geen helder beeld van de volle impact van de EU-vordering hadden, stelt PwC."

Bovenstaand nieuwsartikel is vast eerder voorbijgekomen in één van je tijdlijnen. Het blijkt dat organisaties op grote schaal "niet klaar zijn" voor de nieuwe privacywetgeving. 42% denkt wel "klaar" te zijn. Ergens is dat toch vreemd. Draait heel de GDPR niet om het feit dat het geen project is maar een proces? Dus per definitie nooit klaar kan zijn? Een beetje flauw natuurlijk, omdat sommige bedrijven wel degelijk alle elementen in plaats hebben om persoonsgegevens zeer gecontroleerd te verwerken en te beschermen. Toch pleit ik ervoor dat het niet zo simpel is als compliant zijn of niet compliant zijn. GDPR Compliancy is naar mijn idee geen status, maar een streven. Ofwel, ga niet op zoek naar een sticker die kan worden gegeven.

Tijd voor een stempel

Nu de deadline nadert, merk ik dat er in de markt steeds meer behoefte is aan "concrete maatregelen" & "certificeringen". De vraag om mee te denken op het gebied van een GDPR-keurmerk komt meerdere malen per week mijn kant op. Er zijn wellicht delen die technisch te checken zijn. Wat dacht je van een website, een slotje, privacy voorwaarden, etc.? Allemaal meetbare punten, toch? Nou, niet naar mijn idee. Voldoen aan de GDPR is vooral een mindset of een intentie. Neem jij jouw klanten serieus? En leeft dit binnen de hele organisatie? Weerspiegelen interne bedrijfsprocessen dit ook? Het is onmogelijk deze intentie te certificeren met een stempel op de website. De website is slechts het begin. De techniek, processen en mensen zijn de waarborg. En met name de laatstgenoemde, laat zich moeilijk vatten in een keurmerk.

"Voldoen aan de GDPR is vooral een mindset of een intentie. Neem jij jouw klanten serieus? En leeft dit binnen de hele organisatie? Weerspiegelen interne bedrijfsprocessen dit ook? Het is onmogelijk deze intentie te certificeren met een stempel op de website."

Kortom, het gevoel dat er een stempel moet komen om duidelijkheid te scheppen welke organisatie wel of niet voldoet aan de privacywetgeving neemt toe. Aan de andere kant zijn er veel aspecten aan deze wetgeving die het praktisch onmogelijk maken. Het wordt dus belangrijker om jouw streven naar optimalie bescherming van persoonsgegevens kenbaar te maken richting jouw klanten. Dit kan met een persoonlijk geschreven privacyverklaring en/of constante positieve communicatie waarin je jouw intenties terug laat komen. Dit doe je niet om aan de GDPR te voldoen, maar om jouw klanten nog beter te willen beschermen. Het gebeurt nog vaak dat een mail begint met: "Vanwege de aankomende privacywetgeving…" en niet: "Wij nemen u en uw data serieus, daarom…" Nee, een stempel is naar mijn idee niet de oplossing, het uitdragen van je streven wel. Maar waar begin je?

Informatiebeveiliging

Meer dan je best kun je niet doen

Het begint allemaal bij de intentie van een bedrijf. Ben je echt van plan om een andere manier van werken te hanteren? Als het gaat om de GDPR en garanties omtrent informatiebeveiliging zou ik zeggen: beloof niks, doe wel je best.

Wanneer doe je dan wel je best? Dat lijkt van hetzelfde niveau als "passende technische en organisatorische maatregelen." Voor mij betekent dit wanneer er een aantal cruciale processen zijn opgestart en een bedrijf aan kan tonen dat vanuit daar verder wordt gewerkt om informatiebeveiliging omtrent persoonsgegevens steeds meer in het DNA van het bedrijf te integreren.

Wellicht word je gek van de lijstjes en tips, toch wil ik graag drie belangrijke zaken aanhalen.

  1. Incidentprocedure
    Concreet betekent dit voor alle bedrijven dat zij een incidentenprocedure op moeten stellen. Dit geldt zowel voor een datalek als een ander security incident. Iedereen in de organisatie dient te weten dat er een plan aanwezig is en zich eraan moet houden. Wie bel je bij een incident? Wat zijn de eerste handelingen die een medewerker moet verichtten? Wie worden er bijgehaald in het crisisteam? Wanneer wordt er een IT partij of juridisch adviseur ingeschakeld? Ook in het geval van ransomware kan een dergelijke incidentprocedure levens redden.

  2. Procedure voor het opvragen van persoonsgegevens
    Naast het opstellen van dergelijke incidentprocedure is het belangrijk om de controle over data van jouw klanten (geleende data) terug te geven. Eén van de meest fundamentele rechten die een consument heeft, is het opvragen van welke data in het bezit is van het bedrijf en hoe deze wordt verwerkt. Hoe ziet deze procedure eruit? Zijn de IT-systemen zo ingeregeld dat zij dit kunnen faciliteren? En tot slot, kan het allemaal binnen een gestelde periode automatisch aan de klant worden aangeleverd?

  3. Bescherming van persoonsgegevens
    Als laatste pleit ik voor het actief beschermen van persoonsgegevens om aan te tonen dat je je best doet. Hier zijn verschillende mogelijkheden voor, zowel organisatorisch als technisch. Toch wil ik er één specifiek noemen die nog bij veel bedrijven niet breed wordt ingezet: encryptie. Dit is één van de meest effectieve methodes voor het beschermen van ongeautoriseerde toegang tot gegevens. Natuurlijk zijn er verschillende mate van versleuteling. Het versleutelen van data op een laptop of data die verstuurd is in de mail, is een prima begin. Eigenlijk kan ik me niet voorstellen dat er anno 2018 een geldige reden is om data die lokaal wordt opgeslagen niet te versleutelen. Hier zijn goede oplossingen voor die óók nog eens makkelijk in gebruik zijn. Sommige encryptieoplossingen bieden ook nog eens de mogelijkheid om centraal te monitoren en informatie te loggen, om aan te kunnen tonen welke apparaten versleuteld zijn. Hiermee kun je dus zichtbaar aantonen dat je je best hebt gedaan!

Elke dag iets nieuws onder de zon

Nog elke dag lees ik invalshoeken of "nieuwe" informatie omtrent de GDPR. Ik raad bedrijven dan ook aan vooral niet door te slaan in de details, maar zich vooral op het basisframework te richten. Er zal dan ook nog een hoop veranderen. Er is maar één manier om met verandering om te gaan, en dat is werken vanuit een flexibele, maar goed doordachte basis. Focus je op de incidentprocedure, geef gebruikers controle over hun data en doe je best deze te beschermen. Wacht daarom ook vooral niet op een keurmerk of stempel. Informatiebeveiliging is nooit zwart of wit, compliant of non-compliant. Er is wel goed over nagedacht, of niet.

Dus nogmaals: beloof niks, doe wel je best. Maar als je toch wat wil beloven aan je klanten, beloof dan je best te doen.

Framework voor een concrete GDPR aanpak

Ben je op zoek naar concrete stappen om jouw GDPR-uitdagingen aan te pakken? In de whitepaper: ‘GDPR-compliant met een concrete aanpak’ beschrijven we de te volgen stappen en hoe je hiermee aan de slag kunt. Lees wie er binnen de organisatie medeverantwoordelijk zijn en dus onderdeel uitmaken van je compliancy reis, welke vereisten er zijn om GDPR-compliant te worden en wat ervoor nodig is om dat te blijven.

GDPR Compliant met een concrete aanpak