Bedrijfsleven en overheid maken zich op voor datawetgeving GDPR

08 mei 2017 Consultancy.nl

In 2018 implementeert de Europese Unie de zogeheten ‘General Data Protection Regulation’ (GDPR) verordening. Doel is het creëren van een veilige, digitale omgeving voor burgers, met extra aandacht voor dataverlies of diefstal. Zoals bij elke nieuwe wet die het bedrijfsleven krijgt opgelegd, levert GDPR bij organisaties – circa een jaar voor go-live – nog veel vragen op. Consultancy.nl neemt samen met Magnus adviseurs Martijn van Kampen en Eric Soonius de nieuwe verordening onder de loep, de veranderingen die deze teweeg zal brengen en hoe organisaties zich hier het beste op kunnen voorbereiden.

Met de invoering van de GDPR wil de Europese Unie inspelen op de grote veranderingen in het digital en cyber landschap. De opkomst van nieuwe technologieën heeft gezorgd voor tal van nieuwe online mogelijkheden en voordelen voor klanten en organisaties, zoals meer gemak (24/7 shopping, internetbankieren), betere services (bijvoorbeeld snellere klachtenafhandeling) of verbeterde efficiency (bijvoorbeeld digitalisering van de bedrijfsvoering). Aan de andere kant van de medaille brengt digitalisering ook diverse nieuwe risico’s met zich mee, waarbij cybercriminaliteit en het verlies van privacy als de grootste worden gezien. 

Volgens schattingen is de wereldwijde schade die voortkomt uit cybercrime inmiddels gegroeid naar maar liefst $280 miljard per jaar, terwijl de schade als gevolg van verlies van privacy (of datadiefstal) en in termen van monetaire verliezen, zelfs nog hoger liggen. Hoewel er de afgelopen jaren steeds meer aandacht is voor de gevaarlijke kanten van internetgebruik (75% is vandaag de dag op de hoogte van de risico’s), blijkt er steeds meer vraag naar wetgeving te ontstaan, die ervoor zorgt dat organisaties meer doen om data van consumenten en bedrijven te veilig te houden.

In 2018 implementeert de Europese Unie de ‘General Data Protection Regulation’ (GDPR) verordening

General Data Protection Regulation (GDPR)

Bovenop de wetgeving binnen verschillende landen, geldt vanaf 6 mei 2018 een nieuwe Europese standaard: de General Data Protection Regulation – in ons land bekend als de Algemene Verordening Gegevensbescherming (AVG). Deze verordening schrijft voor hoe elke organisatie die met persoonsgegevens werkt er voor dient te zorgen dat ze op een veilige manier opereren, cybercriminelen buiten de deur houden, en ook zelf ethisch gebruik maken van data. Alle bedrijven die persoonsgegevens beheren of verwerken van EU burgers of binnen de EU gevestigde bedrijven, worden geacht per 25 mei 2018 te voldoen aan de wet. In ons land zal de Wet Bescherming Persoonsgegevens (Wpb) dan plaatsmaken voor deze nieuwe wetgeving.

Voor burgers betekent de GDPR/AVG goed – en volgens velen ook noodzakelijk – nieuws: het betekent dat persoonsgegevens beter beschermd zullen worden. Ook kunnen burgers straks een verzoek indienen om data te laten verwijderen, waar bedrijven gehoor aan moeten geven. Dat was weliswaar al zo, maar dit zal nog belangrijker gaan worden.

Voor bedrijven zorgt de nieuwe wetgeving voor diverse nieuwe elementen, waaronder ‘authentification’ en ‘accountability’ als nieuwe risk control mechanismen, of bijvoorbeeld de uitbreiding van bijzondere persoonsgegevens met nieuwe categorieën (zoals biometrische data). Ook wordt het toestemmingsbegrip verder uitgewerkt, waarbij betrokkenen onder meer altijd in staat moeten zijn om hun toestemming data te gebruiken weer in kunnen trekken. Ook zorgt de nieuwe wetgeving er bijvoorbeeld voor dat persoonsgegevens na een bepaalde periode dermate opgeslagen worden, dat alleen een bevoegd persoon deze nog kan inzien.

Data Protection Officer

Verder schrijft de GDPR voor dat bedrijven en ook overheden, met uitzondering van de rechterlijke macht, een Data Protection Officer (DPO) moeten aanstellen. Zo wordt een DPO verplicht voor organisaties die als kernactiviteit processen uitvoeren die (grootschalige) verwerking van persoonsgegevens vereisen, of bedrijven die bijzondere persoonsgegevens verwerken. In de voorlopige versies van de wet werden kleine bedrijven hier nog van uitgesloten, maar dit is niet langer het geval.

Een andere vereiste van GDPR is dat datalekken tijdig gemeld moeten worden. In Nederland is dat op zich niets nieuws – sinds 1 januari 2016 moeten organisaties in ons land voldoen aan de Wet Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Het AP kan organisaties vervolgens een boete opleggen voor het onzorgvuldig omspringen met persoonlijke of gevoelige gegevens.

Recent onderzoek laat echter zien dat naleving van de Wet Meldplicht Datalekken tekort schiet – 4 op de 10 getroffen organisaties maakt geen (of tijdige) melding van een data lek. Reputatieschade, onvoldoende duidelijkheid over de gevolgen van een datalek en het voorkomen van verder misbruik zijn de belangrijkste redenen voor organisaties om datalekken niet te melden.

GDPR schrijft voor dat bedrijven en overheden een Data Protection Officer (DPO) moeten aanstellen

Naleving van deze meldplicht en het aangeven van datadiefstal, maar nog belangrijker nog het proactief aanpakken van cyberrisico’s en het hanteren van privacynormen, zal onder de nieuwe GDPR wetgeving volgens experts een stuk hoger liggen. Dat heeft vooral te maken met de hoogte van de boetes die opgelegd kunnen worden. Zo is het niet naleven van de nieuwe wet strafbaar en kan naast reputatieschade enorme financiële consequenties hebben. Boetes kunnen oplopen tot wel €10 miljoen – of 2% van de totale globale jaaromzet van een bedrijf, in het geval dat een hoger bedrag oplevert. Als boetes genegeerd worden kunnen deze zelfs verdubbeld worden.

Voorbereiden op de GDPR

Voor organisaties is het essentieel om zich goed voor te bereiden op de GDPR. Maar van een solide voorbereiding is echter nog lang geen sprake, blijkt uit onderzoek van PwC. Zo is op dit moment slechts 1 op de 10 Nederlandse organisaties klaar voor de nieuwe Europese privacywetgeving. Dat heeft alles te maken met de enorme complexiteit ervan: GDPR brengt allerlei nieuwe vereisten met zich mee die hun weerslag hebben op de IT strategie en bedrijfsvoering van organisaties en op zowel hun processen (risk, finance, IT, sales, enzovoorts) en systemen als hun manieren van werken.

Bedrijven uit alle sectoren zijn momenteel bezig zich klaar te stomen voor de invoering van de GDPR en hoewel de benodigde voorbereiding voor elk bedrijf anders is, zijn er volgens experts een aantal opvolggebieden die voor elke organisatie van toepassing zijn. Als eerste stap moeten bedrijven de huidige situatie in kaart brengen, vertellen Martijn van Kampen en Eric Soonius, beiden werkzaam als Consultant bij adviesorganisatie en IT dienstverlener Magnus. Een leidraad daarvoor vormt de, zoals zij het noemen, SBOS kapstok – SBOS staat voor Strategie, Bedrijfsproces, Organisatie en Systemen.

Magnus adviseert bedrijven vanuit het juridisch kader hun strategie te bepalen zodat inzichtelijk wordt, in hoeverre deze wetgeving voor hen van toepassing is, en in welke mate zij zich moeten aanpassen. Met de juiste kaders wordt bepaald welke bedrijfsprocessen, organisatiedelen en systemen door de persoonsgevoelige data geraakt worden. Wanneer deze inventarisatie is afgerond is het raadzaam om de focus te richten op de mensen en cultuur binnen de organisatie. De bewustwording van privacy gevoelige informatie en hoe bedrijven hier mee omgaan zorgt in grote mate voor een succesvolle adoptie van het privacy by design principe.

De adviseurs geven verder aan dat het nog lastig is om de impact van GDPR op organisaties uit zoveel verschillende industrieën en sectoren te veralgemeniseren. Van Kampen geeft aan dat er voor alle typen bedrijven sprake zal zijn van een juridische impact. Belangrijk om daarbij te beseffen is hoe juridische grenzen gedefinieerd zijn en geïnterpreteerd worden, en hoe deze zich vertalen naar manieren van werken binnen de bedrijfsvoering.

Leidraad voor GDPR implementatie:

Soonius wijst op het vierde element (‘Systemen’), dat volgens hem een gebied is dat ongetwijfeld een enorme impact te verwerken krijgt. “Hoe borg je daadwerkelijk het verwijderen en afschermen van gegevens die je vanuit privacy perspectief niet meer mag hebben, maar bijvoorbeeld vanuit fiscaal perspectief wel wil behouden”, geeft de adviseur als voorbeeld. “Zeker met systemen die veel interfaces hebben zal dit een flinke kluif zijn”, voegt hij toe.

Vanuit een technologisch oogpunt, is het essentieel om in kaart te brengen welke systemen een rol spelen en wat hun locatie is. Ook moeten gegevens in de informatiestromen geclassificeerd worden, met vooral een focus op privacygevoelige gegevens. Een ander belangrijk gebied is security, waarbij het essentieel is om goed te begrijpen hoe autorisatie is geregeld: “Welke functionele en technische gebruikers(rollen) hebben toegang tot welke gegevens?”, aldus de Magnus adviseurs.

Dataopslag essentieel

Tot slot is ook dataopslag een belangrijk onderdeel van de checklist: zo hebben de VS en EU bijvoorbeeld andere wetgeving ten aanzien van de opslag van gegevens. Dat maakt dat de herkomst van gebruikers moet worden gecheckt (“Zijn alle gebruikers (intern en extern) inwoners van de EU”?) en de locatie van de servers (“staan alle systemen en gegevens in Europa?”). Veranderingen in de gebruikte technologie kunnen bovendien gebruikt worden om het informatiebeleid aan te scherpen. Soonius: “Denk hierbij aan standaardiseren van informatiestromen conform de GDPR, of het harmoniseren van dergelijke stromen binnen business units en functies.”

Zodra de impact van GDPR op de organisatie helder in kaart is gebracht, is de volgende stap het op een projectmatige manier aanvliegen van het implementatietraject. “Het aanbrengen van veranderingen als gevolg van GDPR moet net zo behandeld worden als het veranderen van de business”, stelt Soonius. De eerste stap is het ontwerpen van nieuwe manieren van werken (ook wel bekend als de ‘to-be’situatie), waarbij privacy by design moet dienen als de rode draad in het proces. “Met privacy by design, processen en gerelateerde systemen worden stappen ontwikkeld die het centraal stellen van de klant als uitgangspunt hebben. Daarmee worden nieuwe manieren van werken niet alleen efficiënt, maar komen ze ook tegemoet aan de vraag vanuit consumenten en samenwerkingspartners.”

Privacyprincipes moeten echt in de cultuur van organisaties verankerd worden

Vervolgens is het tijd om veranderingen binnen de organisatie uit te rollen. Projectteams moeten aan de slag met de diverse taken, waarbij ook stakeholders uit verschillende functies betrokken moeten worden, om de multidisciplinaire facetten die GDPR opwerpt goed te kunnen afdekken. Hierdoor is ook behoefte aan goed toezicht om een compleet overzicht op de projecten en initiatieven te houden.

Privacy verankeren in de cultuur

Gedurende de executiefase is de focus op change management essentieel – “Hoezeer ook geprofiteerd wordt van (nieuwe) technologie in het veranderproces, speelt bij de naleving van privacy ook de menselijke kant een grote rol. Privacyprincipes zullen echt in de cultuur van organisaties verankerd moeten worden, iets dat nu vaak nog helemaal niet het geval is”, concludeert Van Kampen.

Bewustwording is een belangrijke eerste stap binnen de cultuurverandering. Werknemers moeten zich ervan bewust worden wat privacygevoelige gegevens precies zijn, en begrijpen hoe hun gedrag het blootstellen van zulke data mogelijk maakt. “In de praktijk zien we dat privacygevoelige gegevens veel te toegankelijk zijn zonder dat men het zich realiseert, en daarmee is de invloed van mensen op de keten van privacybescherming zeer bepalend”, besluit Soonius. Naast dat werknemers door de juiste processen en governance ondersteund worden, moeten zij ook getraind worden in het uitdragen van het juiste gedrag.

Gerelateerd: Stappenplan voor Global Data Protection Regulation (GDPR).