Nu de bedrijfsvoering van organisaties sinds 25 mei van dit jaar in overeenstemming moet zijn met de GDPR, is het belangrijk om goed in kaart te brengen waar je momenteel staat op het GDPR-pad en welke stappen je nog moet maken om jezelf te beschermen als organisatie.
Er is veel geschreven in de aanloop naar de implementatie van de GDPR en de potentiële impact op bedrijven wereldwijd. Maar zijn de krantenkoppen waar? Met zoveel contrasterend advies uit allerlei hoeken, is de grens tussen GDPR-feit en -fictie vervaagd. Laten we voorbij de hype kijken om de daadwerkelijke effecten van de nieuwe regelgeving te begrijpen.
Niemand gaat vrijuit
Bijna iedereen is het er wel over eens dat veel aspecten en implicaties van de GDPR nog vastgesteld moeten worden; zelfs de Europese Commissie erkent dit. Hoewel de nieuwe verordening één set regels biedt die direct toepasbaar is in alle EU-lidstaten, moet er nog een groot deel van de uitvoering op nationaal niveau worden bepaald. De Europese Commissie besteedt 1,7 miljoen euro aan de financiering van gegevensbeschermingsautoriteiten en trainingen.
Sommige mensen zeggen dat bedrijven met minder dan 250 werknemers niet aan de regels hoeven te voldoen. Hoewel sommige verplichtingen inderdaad niet voor hen gelden, moeten ze over het algemeen wel degelijk aan de regels voldoen. Kmo’s (mkb’s) met minder dan 250 werknemers hoeven bijvoorbeeld geen archief van hun gegevensverwerkingsactiviteiten bij te houden, tenzij het verwerken van persoonlijke informatie als een reguliere activiteit wordt aangemerkt, een bedreiging vormt voor individuele rechten en vrijheden, of gevoelige data of strafregisters betreft.
Een andere misvatting betreft de locatie van de organisatie. Ook al ben je geen lid van de EU, dan nog ben je niet uitgesloten van de GDPR. De verordening is van toepassing op elke organisatie die goederen/ diensten (betaald of gratis) aanbiedt aan personen die zich in de EU bevinden en elke organisatie die het gedrag van personen in de EU monitort. Dus zelfs wereldwijde online bedrijven moeten de GDPR naleven om klanten van de EU te blijven bedienen.
One size doesn’t fit all
GDPR compliancy is de meest gewilde bestemming van 2018 geworden. Maar je komt er niet met een enkele oplossing. Het oude cybersecurity-adagium geldt ook voor de GDPR; het is een combinatie van mensen + proces + technologie. Het valt zeker niet alleen binnen het domein van de it-afdeling, maar moet de hele organisatie mobiliseren. Het moet worden aangepakt met een combinatie van organisatorische veranderingen en technologie.
De meeste artikelen over de GDPR beginnen met een waarschuwing over de mogelijke monetaire sancties waarvoor bedrijven aansprakelijk zijn als ze de regels niet naleven (tot twintig miljoen euro of 4 procent van de totale jaarlijkse wereldwijde omzet van het bedrijf). Dit behoeft echter context. Het is zeker waar dat deze sancties bestaan, maar vergeet niet dat de autoriteit ervoor moet zorgen dat de boetes die in elk afzonderlijk geval worden opgelegd, doeltreffend, evenredig en afschrikkend zijn.
De autoriteit houdt rekening met een aantal factoren, zoals de aard, de zwaarte en de duur van de inbreuk, het opzettelijke of nalatige karakter ervan, de maatregelen die genomen zijn om de door individuen geleden schade te verminderen en de mate van medewerking van de organisatie. Met andere woorden, als een organisatie werkt aan compliance, zijn uiterste best heeft gedaan, de processen heeft gedocumenteerd, systemen en technologie heeft geïmplementeerd, dan kan men mogelijk de maximale hoogte van de boetes vermijden.
Niet panikeren, maar handelen
Neem een aantal stappen om ervoor te zorgen dat uw organisatie in de best mogelijke uitgangspositie voor de toekomst is. De nieuwe verordening draait om gegevens. Organisaties slaan gegevens doorgaans echter niet op één centrale locatie op; meestal zijn de gegevens verspreid over verschillende systemen en locaties. Bovendien zijn niet alle gegevens gelijkwaardig. Sommige worden opgeslagen als gestructureerde data, terwijl andere gegevens, zoals documenten en e-mails, ongestructureerd zijn. De locatie van gegevens varieert ook, bijvoorbeeld in verschillende interne systemen, maar er wordt ook steeds meer extern opgeslagen in openbare cloudomgevingen, zoals bij SaaS-gebaseerde applicaties.
Begin daarom met een inventarisatie (welke gegevens heb ik?) en een classificatie (zijn het persoonlijke gegevens?) van de data. Kijk ook of er een gegevensbeschermingseffectbeoordeling (DPIA) nodig is, voor als u gegevens verwerkt die waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengen.
Wanneer u persoonlijke gegevens verzamelt, moet u ervoor zorgen dat u de personen wiens gegevens u opvraagt, duidelijk op de hoogte brengt. Wanneer u om toestemming vraagt om gegevens te verzamelen en te verwerken, moet u aangeven wie u bent (inclusief uw data privacy officer (dpo), als u die heeft), waarom u de gegevens nodig hebt (inclusief de juridische motivering waarom u de gegevens wilt verwerken), voor hoe lang u de gegevens bewaart en of anderen, zoals dataverwerkers, de gegevens zullen ontvangen (ook als deze buiten de EU worden verzonden).
U dient mensen ook op de hoogte brengen van hun rechten met betrekking tot hun persoonsgegevens op het moment van verzamelen en of zij het recht hebben om een kopie van de data te ontvangen, een klacht in te dienen bij de lokale gegevensbeschermingsautoriteit en of zij hun toestemming op elk gewenst moment kunnen intrekken.
Zoals met alle nieuwe regelgeving, is mentaliteitsverandering het belangrijkste deel van de puzzel. Zorg ervoor dat uw team aan boord is en u bent al halverwege op het pad naar compliance.