Veel organisaties onderschatten de implementatie van de nieuwe Europese privacyregels. PwC-expert Yvette van Gemerden geeft een stappenplan.
De wake-upcall heeft geklonken, volgens Van Gemerden. ” Niet voor de eerste keer, maar ik hoop dat hij nu schel genoeg was. De nieuwe Europese wetgeving voor bescherming van persoonsgegevens was deze week uitgebreid in het nieuws en menig expert waarschuwde al dat veel bedrijven te laat wakker zijn geworden. Vanaf mei 2018 riskeren zij hoge boetes. Daar ben ik het zonder meer mee eens. Vanuit PwC komen mijn collega’s en ik de laatste maanden regelmatig over de vloer bij grote bedrijven, waaronder multinationals, om ze te helpen met de implementatie van de zogeheten General Data Protection Regulation. In Nederland ook bekend als de Algemene Verordening Gegevensbescherming. Daarbij blijkt eigenlijk steeds dat die bedrijven de nieuwe wetgeving erg hebben onderschat.”
Wat zijn de belangrijkste veranderingen van de GDPR?
Ze zet nog even kort de belangrijkste veranderingen op een rij. “Organisaties moeten vanaf eind mei 2018 meer inzicht geven in de manier waarop ze persoonsgegevens verwerken, ze moeten verantwoordelijken op privacygebied benoemen, een data protection officer, en zogenoemde privacy by design- en privacy by default-principes doorvoeren. Daarnaast krijgen individuen het recht ‘om vergeten te worden’ en om persoonsgegevens te laten overdragen: data portability. Als een organisatie een dergelijk verzoek krijgt, moet ze dus precies weten waar de gegevens van die persoon zijn opgeslagen en aan welke derde partijen ze mogelijk zijn doorgegeven. Verder gelden er strenge regels rondom het melden van datalekken. Als bedrijven in gebreke blijven, kunnen ze boetes krijgen tot meer dan vier procent van de wereldwijde jaaromzet of twintig miljoen euro.”
Waar moeten bedrijven beginnen met de privacyregels?
‘Waar moeten we beginnen?’ ‘Halen we de deadline nog wel?’ Vragen die PwC nu steevast krijgt. Van Gemerden: “Soms zijn bedrijven eerst zelf gaan ‘klussen’ of hebben ze een zzp’er ingehuurd. Maar daarvoor is de klus gewoon te groot. Het Europees Parlement heeft niet voor niets bedrijven en andere instanties die data verwerken, twee jaar de tijd gegeven om aan de regels te voldoen. De implementatie van de wetgeving, die vooral is bedoeld om burgers meer te beschermen, is niet een ‘IT-projectje’, maar heeft invloed op alle geledingen van een organisatie.” Ze geeft vervolgens een stappenplan.
1. Creëer awareness
“Zorg dat iedereen binnen de organisatie zich bewust is van de veranderingen en de mogelijke consequenties als men geen actie onderneemt”, stelt Van Gemerden. “Breng de wetgeving ook onder de aandacht van het bestuur. Belangrijk is dat er budget beschikbaar komt en dat duidelijk is wie verantwoordelijk wordt voor de hele implementatie. In veel gevallen richt een bedrijf een stuurgroep of privacy office in met vertegenwoordiging vanuit meerdere disciplines, zoals IT/security, compliance en/of legal. Het is belangrijk dat niet uitsluitend de mogelijke boetes de drijfveer zijn, maar vooral ook de gevolgen voor betrokkenen en de organisatie als geheel.”
2. Maak een plan van aanpak
Inventariseer welke afdelingen binnen de organisatie bij de implementatie van GDPR moeten worden betrokken, is tip 2. Van Gemerden: “Bedenk daarbij dat de nieuwe privacyregels op de hele organisatie van invloed zijn. Dus naast de IT- afdeling moeten zeker ook marketing, verkoop, HR en de juridische afdeling worden betrokken.”
3. Bepaal de huidige situatie
Breng in kaart waar en in welke systemen persoonsgegevens binnen de organisatie zijn opgeslagen, voor welke doeleinden dat gebeurt en naar welke derde partijen ze mogelijk worden doorgestuurd. Dat heet datamapping. Van Gemerden: “Deze stap mag niet worden onderschat. Het kost veel tijd om alle systemen waarin persoonsgegevens worden verwerkt, in kaart te brengen en die te classificeren. Dit is echter wel een belangrijk vereiste in de GDPR en tevens een noodzakelijke voorwaarde om aan de overige verplichtingen in de GDPR te kunnen voldoen.”
4. Identificeer de noodzakelijke maatregelen
Van Gemerden: “Met een eenvoudige nulmeting zijn de noodzakelijke activiteiten te identificeren om tot de gewenste staat van compliance te komen.”
5. Ga aan de slag
Van Gemerden: “Als u weet welke aanpassingen u moet doorvoeren om aan de regelgeving te voldoen, is het verstandig een duidelijke roadmap op te stellen gebaseerd op een prioritering van de risico’s. Systemen waarin de grootste hoeveelheden en de meest gevoelige persoonsgegevens worden verwerkt en die het meest kwetsbaar zijn voor datalekken, moeten u eerst beoordelen. Bij dit alles is het belangrijk dat de organisatie steeds duidelijke keuzes maakt bij de verwerking van persoonsgegevens en duidelijk vastlegt voor welke doeleinden ze worden gebruikt. Voor een reisorganisatie zijn andere gegevens interessant dan voor een financiële instelling.
‘Er heerst paniek’, was deze week de boodschap in de berichtgeving. In paniek raken is volgens Van Gemerden nog niet nodig. “Maar het is voor bedrijven wel zaak dat ze snel de juiste voorbereidingen treffen als ze dat nog niet hebben gedaan. De wekker op ‘snooze’ zetten, is geen optie meer.”
Lees ook
Compliance aan privacy wetgeving
Accountants profiteren van nieuwe privacywetgeving
