Op maandag 25 mei was het twee jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in Nederland werd ingevoerd. Deze wetgeving heeft zaken ten goede veranderd en brengt gegevensbescherming onder de aandacht van iedereen, van C-level tot aan consument. Wat is de actuele stand van zaken, twee jaar na de invoering? Een blik op het verleden, heden en toekomst.
In een notendop: vanwege de AVG zijn juridische teams uitgebreid, is het aantal functionarissen voor gegevensbescherming gestegen en is het overleg met externe adviseurs voor gegevensbescherming gegroeid. Deze rollen zijn hard nodig om de naleving van de wetgeving te waarborgen. Daarnaast is de voltooiing van data protection impact assessments (dpia’s) bekend bij duizenden organisaties.
Wel is er nog een lange weg te gaan. Het naleven van de AVG is niet iets om af te vinken op een lijstje; het is een compleet framework om voortdurende inspanningen op het gebied van gegevensbescherming en cyberveiligheid te beoordelen.
Meer bewustzijn
De drijvende kracht achter het naleven van de AVG is een toegenomen bewustzijn rondom de verschillende rechten, zoals ook blijkt uit ons onlangs gepubliceerde ebook ‘Data protection and cyber security in a post-GDPR landscape’. Bedrijven zijn zich bewust van het belang en de risico’s van data binnen hun organisatie. Daarom voeren ze nu uitgebreide controles uit over de integriteit van de databeveiliging van een potentiële leverancier. Ze willen immers niet betrokken zijn bij een eventueel extern datalek. Consumenten zijn zich op hun beurt ook meer bewust van hun rechten rondom data, waarbij ze inzicht willen in beschikbare persoonsgegevens en bedrijven wijzen op eventuele fouten. Bedrijven moeten daarom gefocust blijven en hun databescherming op orde houden.
Een van de principes van de AVG is de noodzaak om oude data te verwijderen. Bepaalde soorten persoonsgegevens mogen bijvoorbeeld niet langer dan zeven jaar worden bewaard. Een handige tactiek is om een melding in te stellen wanneer gegevens op het punt staan te ‘verlopen’. Met de juiste database zou het voor jouw it-team gemakkelijk zijn om een actie te maken die een automatisch gegenereerde e-mail naar de data protection officer (dpo) stuurt wanneer de einddatum nadert. Zo wordt het naleven een stukje eenvoudiger gemaakt.
Gegevensminimalisatie en security
Dataverzameling is vrijwel elk jaar exponentieel toegenomen. The big four (Google, Apple, Facebook en Amazon) beschikken ieder over enorme hoeveelheden aan klantdata. Daardoor zijn we geneigd om te denken dat andere bedrijven dit op eenzelfde manier aanpakken. Maar hoe meer gegevens je opslaat, hoe groter het risico is waaraan je jezelf blootstelt. Een van de meest positieve trends, sinds de introductie van de AVG, is een tegenbeweging richting uitbundige dataverzameling. Slimme bedrijven hanteren een filosofie van ‘gegevensminimalisatie’: heb je de data niet nodig voor bedrijfsdoeleinden, verzamel deze dan ook niet.
Met alleen aandacht en bewustwording voor de AVG bereiken we nog geen compliance. Naleving vereist constante aandacht voor de juiste beveiliging. Het steeds veranderende karakter van technologie en van cyberdreigingen betekent dat een goede beveiligingsinfrastructuur essentieel is. It en de beveiliging van alle bedrijfsdata is slechts zo sterk als de zwakste schakel in je infrastructuur.
Ferdi van der Zwaag, team leader Benelux bij Kingston EMEA