Sinds 25 mei vorig jaar is de General Data Protection Regulation (GDPR)/Algemene Verordening Gegevensbescherming (AVG) van kracht. Veel bedrijven hebben rond die periode aan window dressing gedaan en netjes een reeks verplichte documenten opgesteld. Maar de wet vereist ook organisatorische en technische aanpassingen.
We zijn in een soort van tweede AVG-golf aanbeland. Dat wil zeggen dat bedrijven die vorig jaar mei dat laagje aan ‘borging’ hebben aangebracht en braaf aan de eerste verplichtingen hebben voldaan nu, na eerst de kat uit de boom te hebben gekeken, realiseren dat er echt wat moet gebeuren.
Aanzet is gemaakt
Op basis van de GDPR hebben tal van bedrijven acties ondernomen. Enerzijds omdat deze simpelweg ‘keihard’ verplicht zijn vanuit de wetgeving, anderzijds omdat het gewoon een goed idee was in verband met contracten met klanten. Zo zie je dat veel bedrijven rond 25 mei vorig jaar een eerste aanzet gemaakt hebben tot het opstellen van een register van verwerkingsactiviteiten, het publiceren van een privacyverklaring en het vaststellen van verwerkersovereenkomsten met klanten en leveranciers.
De constatering is dat veel bedrijven met betrekking tot de GDPR in elk geval niet níks hebben gedaan en wel degelijk een bepaald niveau hebben aangetikt.
Waar het dan nog weleens aan schort, is dat bedrijven bij het opstellen van een privacyverklaring uit zijn gegaan van een standaardmodel, waardoor niet alle details die voor de organisatie relevant zijn in die verklaring benoemd zijn. Dat je jezelf als bedrijf niet aan heel specifieke details committeert, zal de gemiddelde jurist niet erg vinden, maar het maakt de volgende stap die je vanuit de wet moet doen wel lastiger.
De wet vraagt om passende technische en organisatorische maatregelen en om dat goed uit te voeren zal een organisatie intern in meer detail in actie moeten komen. Het gebrek aan detail – bij veel organisaties het geval – werkt remmend op de daadwerkelijke beveiliging. Ook zijn veel bedrijven, doorgaans op basis van de wensen van klanten, vorig jaar relatief vlot overgestapt op het tekenen van verwerkersovereenkomsten waarin, blijkt nu, mogelijk een aantal onnodige of nog niet haalbare verplichtingen is toegezegd.
Bovenstaande constatering vormt, samen met het feit dat bedrijven door de aantrekkende economie meer geld hebben om in it-systemen en de beveiliging daarvan te investeren, voor veel bedrijven de aanleiding om nu beheersmaatregelen te treffen. Dit kunnen we, zoals aangegeven, bestempelen als de tweede AVG-golf. Het treffen van die maatregelen gaat in een aantal gevallen gepaard met migratie naar cloudoplossingen. Bij bedrijven die geruime tijd niet in hun it hebben geïnvesteerd leidt dat tot een aantal legacy-uitdagingen.
Kapstok
Wat bedrijven zich afvragen, is hoe zij aan kunnen tonen dat zij focus op en controle over hun gegevens hebben. Voor de AVG hebben de certificeringsinstellingen weliswaar een certificering in de pijplijn, maar is nog niet duidelijk wanneer deze beschikbaar komt. Uiteraard zijn er voor bedrijven meerdere redenen om aan informatiebeveiliging te werken dan enkel de AVG. Daarom kan ISO 27001, de norm voor informatiebeveiliging (of in het geval van de zorg NEN 7510), voor veel bedrijven een kapstok zijn relevante verbeteracties aan op te hangen. Ook is daarmee aan relaties toonbaar te maken dat je als bedrijf de controle hebt over informatiebeveiliging en de dienstverlening aan je klanten.
Door aan de slag te gaan met ISO 27001 is het makkelijker om je verwerkersovereenkomsten op te stellen, omdat je als bedrijf dan kunt verwijzen naar het Information Security Management System (ISMS) dat in je organisatie aanwezig is. Bovendien is de koppeling tussen de AVG en ISO 27001 in sommige gevallen erg duidelijk. Zo eist de AVG-wet dat de toegang van personen tot persoonsgegevens wordt beperkt, waar de ISO 27001-norm een expliciete set best practices rondom scheiding van taken kent. In andere gevallen is de verbetering van de beveiliging wat indirecter, zoals bijvoorbeeld bij de aantoonbare aandacht voor de hele Ontwikkeling, Test, Acceptatie en Productie (OTAP)-cyclus en de daarin thuishorende ketenintegratietest.
Stappenplan
Om stappen te maken op het gebied van privacy en informatiebeveiliging is het allereerst van belang om de noodzakelijke gaten in de organisatie te dichten. Denk aan het opheffen van toegangsrechten voor medewerkers die uit dienst zijn gegaan. Of aan controle op de primaire ict-dienstverlener, zodat deze niet onbeperkt en ongecontroleerd toegang heeft tot de totale it-omgeving van het bedrijf. Daarnaast is een procedure rondom het afhandelen van incidenten belangrijk om een scherp beeld te krijgen van de problemen die spelen in de organisatie, maar ook om te voldoen aan de wettelijke verplichting rondom het zorgvuldig melden van datalekken.
Met dit soort zaken kun je het best stap voor stap aan de slag gaan. De ervaring leert dat bij het gemiddelde bedrijf de eerste quick wins binnen twee weken tot een maand zijn af te ronden. Veranderingen die wat meer impact hebben, zoals het volledig duidelijk hebben van het it-landschap en de daarop aanwezige diensten of het effect van een migratie naar bijvoorbeeld een crm- of erp-systeem, kennen een langere doorlooptijd.
Eén van de grotere, zo niet de grootste, uitdagingen is het veranderen van de cultuur en het ‘securitygedrag’ van werknemers. Door middel van een mix aan interne audits en korte interne sessies is te stimuleren dat medewerkers het juiste securitygedrag vertonen.
Boetes
Conclusie: de AVG heeft rond 25 mei 2018 en in de maanden daarvoor voor veel opschudding gezorgd. Over diverse punten komt steeds meer duidelijkheid met betrekking tot wat we kunnen verwachten. Je ziet dan ook dat steeds meer bedrijven op een hoger niveau en tegelijkertijd pragmatischer aan de slag gaan met het treffen van maatregelen. Dat wordt ook tijd; de Autoriteit Persoonsgegevens (AP) en andere landelijke veiligheidswaakhonden zijn nu de eerste boetes aan het uitdelen voor de GDPR. In tegenstelling tot een halfjaar geleden is het beboeten dus begonnen. De regelgeving zal in eerste instantie ook eerst strenger worden: aanscherpingen in 2020 (bijvoorbeeld ook cliëntenrechten in de zorg) en de komende ePrivacy Verordening.
Het zal nog wel even zal duren voordat het gemiddelde mkb-bedrijf iets van de toezichthouder merkt; het advies is om daar niet op te gaan zitten wachten.
