GDPR | AVG implementatie begint bij de '1st line of defence'
Verschillende onderzoeksbureaus hebben de afgelopen weken veelvuldig gewaarschuwd voor de gevolgen van de naderende GDPR, ofwel AVG, wetgeving. Organisaties zijn volgens de meeste onderzoeken onvoldoende voorbereid op de privacy wetgeving, waarbij sommige bureaus zelfs stellen dat er paniek is onder (privacy)bestuurders. Govert van Koningsveld, Associate Partner bij Solid Professionals, over waarom het iedere keer weer misgaat met het anticiperen op nieuwe wetgeving.
In zijn algemeenheid kent het totstandkomingsproces van wetgeving, zeker van Europese wetgeving, een lange doorlooptijd. Je zou zeggen, tijd genoeg voor bedrijven om zich enerzijds te mengen in de totstandkoming van de wet en anderzijds om zich voor te bereiden op implementatie. De praktijk is echter weerbarstig.
In de dagelijkse praktijk van organisaties is het vaak een compliance afdeling die veranderingen op het gebied van wet- en regelgeving monitort. Het betreft binnen het bekende three lines of defence model veelal een 2e lijn activiteit. Hiermee lijkt het alsof de 1e lijn het hiermee heeft geregeld en derhalve ook de verantwoordelijkheid heeft verplaatst. Dit is natuurlijk een grote misvatting want de 1e lijn is verantwoordelijk voor de aansturing van de organisatie binnen onder andere de bestaande (en toekomstige) wet- en regelgeving.
De GDPR of AVG had al geruime tijd geleden op de bestuursagenda geplaatst moeten zijn. En niet als een compliance ‘dingetje’ maar als een potentiële kans of bedreiging voor de realisatie van de ondernemingsdoelstelling(en).
Nu veel bedrijven dit agendapunt lange tijd aan zich voorbij hebben laten gaan, begint de tijd te dringen. Vanuit de 2e lijn wordt het bestuur nu nadrukkelijk gewezen op hun verantwoordelijkheid ten aanzien van de komende wetgeving. Ineens wordt het bestuur dan besluitvaardig en wijst een projectmanager aan binnen de ICT-afdeling, want daar zal wel de grootste impact zijn. De projectmanager krijgt daarmee de ondankbare taak resources vrij te krijgen uit de business en de 2e lijn, om de impact te bepalen. Hiermee gaat het bestuur voor de 2e keer uit de bocht, want de ICT-afdeling kan niet de business regels bepalen.
Hiervoor zijn zij afhankelijk van de 1e lijn omdat die moet aangeven hoe zij binnen de gestelde kaders vanuit de wet- en regelgeving willen omgaan met de data van de klant. Welke klantdata zijn noodzakelijk voor de bedrijfsvoering? Waar willen en mogen wij de klantgegevens voor gebruiken? En hoe betrekken wij de klant in het proces van inzichtelijk maken wat wij met de gegevens doen (en dat is niet wegstoppen in pagina’s tekst die klanten wegklikken of weggooien).
Het begint bij de 1e lijn
Kortom het organiseren van deze veranderende wet- en regelgeving begint bij de 1e lijn. Daar wordt de verantwoordelijkheid op de gehele keten gestuurd met ondersteuning vanuit de verschillende functionele kennisgebieden. Alleen dán weet je zeker dat de kans op tijdige implementatie en met de juiste prioriteitstelling plaatsvindt.