GDPR: onze route naar compliance

Wij werken aan General Data Protection Regulation (GDPR) compliance en laten ons daarin bijstaan door de specialisten van Biners. Hoe werkt dat?

Dit voorjaar wordt de General Data Protection Regulation (GDPR) van kracht. Vanaf 25 mei 2018 dienen organisaties persoonsgegevens van EU-ingezetenen GDPR-compliant te verwerken. De maximale straf kan oplopen tot 20 miljoen euro of 4% van de omzet, wat voor grote ondernemingen veel hoger dan 20 miljoen kan uitpakken.

In het voorjaar van 2017 begonnen we de voorbereidingen met het verzoek aan de specialisten van Biners Business Information Security ons in dit traject te begeleiden. We wilden ons in de complexe GDPR-materie - waarover zodirect meer - laten bijstaan door experts met ervaring in het integreren van verschillende perspectieven: IT, legal, security en business. Daarbij vinden we het belangrijk om het hele proces richting compliancy op een transparante wijze voor te bereiden, te doorlopen en te documenteren. Voor onze eigen toekomst, maar ook voor onze relaties.

Wat is GDPR?

Heel kort gezegd is GDPR het wettelijke instrument waarmee de EU haar burgers het recht op zeggenschap over persoonlijke gegevens garandeert. Ook als die gegevens worden verwerkt door bedrijven van buiten de EU. Zo eenvoudig als dit klinkt, zo complex is het om dit effectief te operationaliseren. De tekst van GDPR is dermate omvangrijk, gedetailleerd én abstract dat een gedegen aanpak is vereist. Frank Gottenbos (links) en Gunnar Jöns van Biners lichten toe.

Belangen

Gunnar Jöns: "GDPR gaat over consumentenrechten, maar ook over verstandig gegevensbeheer dat recht doet aan verschillende belangen en dat past in een duurzaam winstgevende bedrijfsvoering. Onder GDPR vraagt een bedrijf de consument expliciet om toestemming voor een specifiek gebruik van hun gegevens. De consument heeft het recht op een overzicht van alle over hem of haar opgeslagen gegevens. Iedere organisatie moet dat overzicht op verzoek van de consument leveren én de betreffende gegevens op aanwijzing van de consument verwijderen. Dit stelt uiteraard hoge eisen aan de veiligheid, de bedrijfszekerheid en de transparantie van data-opslag en gerelateerde processen.

Data Privacy Management

In onze ervaring begint een organisatie meestal het beste aan een GDPR-traject door te inventariseren wie welke gegevens in welke processen en op welke plaats opslaat. Zo zijn we ook met NetRom Software in Breda en Craiova van start gegaan, waarbij wij een Data Privacy Management System op hoofdlijnen hebben ingericht. Daarmee kon NetRom snel aan de slag met het toetsen en verder verbeteren van een reeks deelprocessen rond het verwerken van persoonsgegevens. Hierbij zijn technologische, organisatorische en personele dimensies geïntegreerd."

Strategisch niveau

Frank Gottenbos: "Cruciaal is dat de koppeling van security en privacy op het hoogste niveau in de organisatie op de agenda staat. Op die manier heeft iedereen, inclusief een auditor, snel inzicht in de compliance, de gaps en de voortgang. Een voorbeeld in de context van NetRom? Een opdrachtgever die NetRom vraagt software te ontwikkelen, moet blind kunnen vertrouwen op GDPR-compliance. Daarom moet NetRom waarborgen dat in de ontwikkeling van software niet wordt gewerkt met gegevens van bestaande personen. Daarnaast moet software die persoonsgegevens gebruikt, zo ontworpen zijn dat deze adequaat zijn beschermd. Privacy by design heet dat. Software waarbij klanten toestemming geven hun gegevens te delen moet standaard zo ingesteld zijn dat de privacy maximaal is gewaarborgd en alleen de minimaal benodigde gegevens gebruikt worden. Dat is privacy by default.

Certificering

Waar het om gaat, is dat een organisatie in alle lagen en processen aandacht heeft voor het belang, de veiligheid en de risico’s van privacy. Van marketing en delivery tot en met HR en finance. We hebben er alle vertrouwen in dat NetRom Software ruim op tijd compliant en gecertificeerd zal zijn. Dat is niet bepaald vanzelfsprekend, want Forrester verwacht dat 80% van de betrokken bedrijven niet op tijd klaar zal zijn."