14 maart 2018 -
De AVG-deadline nadert. Elke organisatie die persoonsgegevens van EU-burgers verwerkt, moet vanaf 25 mei 2018 aan strengere regels doen.
"Maar dat is een utopie," stelt Marc French, Chief Trust Officer bij e-mailbeveiligingsspecialist Mimecast. Volgens French is slechts een handvol bedrijven al volledig klaar voor de General Data Protection Regulation (GDPR), zoals de wetgeving in het Engels heet. Hoe zet u een eindsprint in?
"Bijna iedereen die ik spreek over de AVG weet zeker dat ze de deadline niet gaan halen," zegt French, die bij Mimecast de rol van functionaris voor de gegevensbescherming (FG) combineert met zijn taken als senior vicepresident. "Veel organisaties lopen enorm ver achter, en privacytalent is schaars." Toch is er volgens hem geen reden voor paniek. "100 procent compliance met de AVG is het einddoel, maar het gaat erom dat u op 25 mei een goed privacyverhaal heeft voor de toezichthouder."
Een stevige basis
Het uitvoeren van een complete AVG-strategie neemt uiteraard meer dan twee maanden in beslag. "Er zijn geen simpele trucjes voor het waarborgen van security, privacy en transparantie. Maar het is zeker mogelijk om in korte tijd een goede basis te leggen," aldus French. Hij noemt vier cruciale punten die elke organisatie op orde moet hebben:
1. Snel voldoen aan de meldplicht
"In Nederland geldt al langer een meldplicht, maar de impact hiervan wordt nog steeds onderschat. Als een datalek onder de meldplicht valt, moet de Autoriteit Persoonsgegevens bij voorkeur binnen 72 uur op de hoogte worden gesteld. Door een melding zo snel mogelijk te doen, creëert u goodwill bij de toezichthouder. Een partner kan ook schuldig zijn aan het lek. U moet dus snel kunnen bepalen waar in de supplychain het fout is gegaan. Daarvoor moet u inzicht hebben in de gehele keten."
2. Recht op dataportabiliteit
"Onder de AVG worden de privacyrechten van betrokkenen uitgebreid. Een van de nieuwe rechten is het recht op dataportabiliteit. Uw klanten kunnen vanaf de AVG-deadline verzoeken om hun persoonsgegevens beschikbaar te stellen of deze direct over te dragen aan een andere organisatie. U moet die gegevens bovendien in een gestructureerd, veelgebruikt en machineleesbaar formaat kunnen verstrekken. Neem bijvoorbeeld een tool in gebruik waarmee klanten hun gegevens op een veilige manier kunnen downloaden."
3. Dataclassificatie
"Organisaties verwerken bergen data voor verschillende doeleinden. Zo analyseert de marketingafdeling elk klantcontact en verwerkt hr personeelsinformatie. U moet alle persoonsgegevens in kaart brengen en classificeren. Ga extra zorgvuldig om met bijzondere persoonsgegevens, zoals gevoelige gegevens over ras, religie of gezondheid. Maar ook registraties van ziekmeldingen vallen hier al onder. Hebben bepaalde data geen waarde voor de business? Verwijder ze dan."
4. Risicogebaseerde aanpak
"Juist omdat persoonsgegevens op zoveel verschillende plekken terecht kunnen komen, wordt het waarschijnlijk lastig om alles voor de deadline aan te pakken. Focus daarom op vijf of zes onderdelen die de hoogste urgentie hebben. Begin bijvoorbeeld met de bedrijfswebsite en de interne communicatiekanalen. E-mail in het bijzonder staat vaak vol met persoonsgegevens, wat forse risico’s kan opleveren. Monitort uw organisatie (potentiële) klanten via social media? Dan moet hier de prioriteit liggen."
Pointers
French adviseert organisaties om een speciaal AVG-team samen te stellen. "Het vinden van privacytalent kan moeilijk zijn, maar het is niet onmogelijk." De Chief Trust Officer van Mimecast geeft enkele pointers:
Wijs een ‘dedicated’ programmamanager aan die het gehele proces voor compliance met de AVG begeleidt.
Vorm een multidisciplinaire commissie voor strategische besluitvorming, datagovernance en toezicht.
Verspreid het classificeren van data over de afdelingen die daar ervaring mee hebben.
Zorg dat er privacyprofessionals klaarstaan om te helpen bij specifieke taken, zoals data-inventarisatie en privacy impact assessments.
Beoordeel of bewerkersovereenkomsten nog toereikend zijn en zorg ervoor dat u de datastromen van derde partijen begrijpt.
Stel iemand aan die toeziet op de naleving van de AVG binnen de organisatie. Dat kan een FG zijn. In veel gevallen is dat zelfs verplicht.
AVG is een continu proces
Tot slot benadrukt French dat AVG-compliance een continu proces is. "Neem de verplichting om passende technische en organisatorische maatregelen te treffen voor de beveiliging van persoonsgegevens. Wat nu als passende beveiliging geldt, biedt over een jaar misschien geen bescherming tegen nieuwe dreigingen. U zult uw security dus periodiek moeten testen. 25 mei is dus veel meer dan een deadline. Eigenlijk begint het dan pas echt."
Wilt u meer weten over de impact van de AVG op uw organisatie? Download dan het gratis e-book ‘GDPR: A Day of Reckoning or Transformation’ van Mimecast en de Cyber Resilience ThinkTank.