Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Hoe wordt mijn bedrijf GDPR-ready?

Ondanks dat een bedrijf in Oostenrijk ruime ervaring heeft met het verwerken van klantgegevens, heeft het een behoorlijk leercurve moeten doormaken om GDPR-ready te worden.

In de lente van 2017 zette Michael Mrak zich schrap voor de aankomende tsunami die GDPR heet. De verordening werd gekarakteriseerd als de grootste reeks wijzigingen die sinds twee decennia in wetgeving op het gebied van gegevensprivacy werd doorgevoerd.

De General Data Protection Regulation (GDPR) werd in mei 2018 van kracht en vereist dat elke lidstaat van de Europese Unie klantgegevens en persoonsgegevens grondiger beschermt. Dat vereist ook grotere consistentie tussen EU-lidstaten bij het beschermen van persoonsgegevens. Elk bedrijf, ook van buiten de EU, dat goederen of services verkoopt aan EU-inwoners moet de GDPR naleven.

De boetes voor niet naleving zijn hoog: ondernemingen die niet aan de GDPR voldoen, kunnen een boete krijgen tot maximaal 4% van hun jaarlijkse wereldwijde omzet of 20 miljoen euro (afhankelijk van welke van de twee groter is). En nu overwegen de Verenigde Staten delen van de GDPR toe te passen. Met de California Consumer Privacy Act van 2018, die in juni 2018 van kracht werd, worden enkele GDPR-beschermingen toegepast in de staat Californië.

Voor Compliance Officers, Chief Information Officers en vele andere IT- en zakelijke professionals hing de GDPR al als een zwaard van Damocles boven het hoofd sinds bedrijven zich in april 2016 erop begonnen voor te bereiden toen de EU de verordening goedkeurde.

Michael Mrak, Hoofd van de afdeling Compliance bij Casinos Austria AG

Het was “stressvol”, vertelt Michael Mrak, Hoofd van de afdeling Compliance bij Casinos Austria AG – een groep bedrijven die zich bezighoudt met online gaming en sportweddenschappen – tijdens de RSA Conference 2019 gedurende een sessie over de geleerde lessen om GDPR-ready te worden. Bedrijven maakten zich zorgen, zei hij, dat ze mogelijk niet aan de vereisten konden voldoen.

Maar uiteindelijk is GDPR-naleving een continu proces en geen momentopname waarop doelstellingen worden behaald. “Het oorspronkelijke plan van de CEO en de directie was om op 25 mei 2018 volledig aan de verordening te voldoen”, aldus Michael Mrak. “Dat is wat CEO’s doorgaans van je willen: ‘Je moet aan de richtlijnen voldoen. . . . Zorg daar maar voor.’ Maar dan komt de realiteit om de hoek kijken.”

Dit verhaal komt overeen met gegevens van bedrijven die ernaar streven aan de GDPR-vereisten te voldoen. EY en de International Association of Privacy Professionals ondervroegen voor hun IAPP‑EY Annual Privacy Governance Report 2018 550 professionals op het gebied van gegevensprivacy over GDPR-naleving. Meer dan de helft (56%) van de respondenten gaf aan niet te voldoen aan de verordening of er nooit volledig aan te kunnen voldoen. En in Cisco’s Data Privacy Benchmark Study 2019 gaf 42% van de respondenten recent aan dat de verschillende vereisten op het gebied van gegevensbeveiliging een groot probleem vormen bij naleving van de GDPR.

Bedrijven die de tijd hadden genomen om hun gegevensprivacy op orde te krijgen, zijn het beste voorbereid om GDPR-ready te worden. Bedrijven die documentatieprocessen opzetten, interdepartementale samenwerking stimuleren en naleving bezien als een continu proces hebben de grootste kans succesvol aan de vereisten te voldoen.

“Consultants waarmee we gesprekken hebben gevoerd, gaven aan dat het niet mogelijk is volledig aan de GDPR te voldoen”, schreef Claudiu Dascalescu in een blog over GDPR-naleving. “Probeer een efficiënte gegevensbeschermings- en privacystrategie te ontwikkelen op basis van uw scenario.”

Aanbevelingen om GDPR-ready te worden

Mrak deelde enkele van de lessen die hij sinds 2016 heeft geleerd.

1.      Ontwikkel bedrijfsonderdeelbrede communicatie. Volgens Mrak is het opzetten van een projectteam en het samenwerken met afzonderlijke bedrijfsonderdelen en zakelijke functies een van de belangrijkste aspecten om GDPR-ready te worden. Sommige van deze onderdelen en functies verwerken persoonsgegevens en andere (zoals interne auditing en bedrijfscommunicatie) worden ingezet als er sprake is van een inbreuk. Mrak gaf aan dat de verschillende afdelingen in een vroeg stadium bij het proces werden betrokken en een specifieke rol te vervullen hadden.

2.       Voer een stresstest uit op uw GDPR-plannen. Casinos Austria testte zijn GDPR-training en ‑processen door twee scenario’s uit te voeren.

“In het ene scenario was sprake van gegevensverlies en in het andere waren gegevens gestolen en via de media gelekt”, aldus Mrak. Het bedrijf paste de training goed toe tijdens deze scenario’s, maar er werden ook lacunes in de processen gesignaleerd. Zo werd hun klantenservice bijvoorbeeld niet van de gegevensinbreuk op de hoogte gebracht. “Dat is een groot probleem, want het is een GDPR-vereiste. Alle werknemers en klanten moeten worden ingelicht.” Privacycoördinatoren werken nauw samen met de afdeling Compliance.

3.       Creëer een matrix voor gegevensverwijdering. In het regelgevingskader kunnen er tegenstrijdige behoeften zijn bij de opslag van gegevens. “Er zijn twee conflicterende voorschriften voor gegevens waaraan we moeten voldoen”, benadrukte Mrak.

Casinos Austria moet bijvoorbeeld volgens bepaalde voorschriften transactiegegevens van klanten opslaan gedurende verschillende gedefinieerde perioden (gegevens over belastingen moeten zeven jaar worden opgeslagen, terwijl andere klantgegevens mogelijk slechts vijf jaar hoeven te worden bewaard). Maar de GDPR vereist dat gegevens tijdig worden verwijderd. Het recht op vergetelheid, een andere verordening in Europa, vereist ook dat onjuiste gegevens van een gebruiker worden verwijderd als hij/zij daartoe een verzoek indient. Deze conflicterende doelstellingen – gegevens opslaan om te garanderen dat bedrijven klantgegevens en transactiegeschiedenis kunnen verifiëren aan de ene kant, en de noodzaak gegevens te verwijderen ter bescherming tegen inbreuk en misbruik aan de andere kant – vereisen vaak een matrix voor gegevensverwijdering. Op die manier kunnen Compliance Officers nagaan wanneer zij gegevens kunnen verwijderen (en wanneer dat aan te raden is).

4.      Pak verouderde systemen aan die geen mogelijkheden voor geautomatiseerde verwijdering hebben. Veel verouderde databasesystemen met klantgegevens zijn mogelijk niet in staat gegevens automatisch te verwijderen op basis van vervaldatums of klantverzoeken. Zonder automatisering kunnen Compliance Officers problemen ervaren bij het beheren van termijnen en eenmalige verzoeken. Bedrijven moeten tussenoplossingen creëren om deze verwijderingspraktijken te automatiseren, zodat er niets over het hoofd wordt gezien. “Door procesafhandeling te automatiseren, kan kunstmatige intelligentie in de toekomst een grote rol spelen”, aldus Mrak.

5.       Garandeer naleving van andere voorschriften. Naleving van andere normen en voorschriften kan nuttig zijn bij de voorbereiding op de GDPR. De Internationale Organisatie voor Standaardisatie heeft bijvoorbeeld ISO 27001 ontwikkeld, een norm gericht op informatiebeveiliging. “Hoewel informatiebeveiliging en gegevensbescherming niet hetzelfde zijn, kunnen ze wel op dezelfde manier worden aangepakt”, zei Mrak. “En daarbij zijn normen zeer nuttig. Als je ISO 27001 toepast, kun je eenvoudig voldoen aan de technische aspecten van de GDPR-vereisten.”

6.       Verkrijg ondersteuning op leidinggevend niveau. Net al bij vele andere initiatieven is ondersteuning op leidinggevend niveau essentieel om efficiënt en effectief aan de GDPR te voldoen. Aangezien leidinggevenden een ‘hoge mate van bewustzijn’ hadden van de GDPR, was het project bij Casinos Austria functieoverschrijdend, kreeg het hoge prioriteit en was het relatief succesvol. “Het enorme aantal vergaderingen dat we voerden met alle personen die verantwoordelijk zijn voor systemen en met stafmedewerkers was wel verrassender dan ik had verwacht”, vertelde Mrak.

GDPR-ready worden is een continu proces, geen momentopname

Tegelijkertijd moeten bedrijfsonderdelen en ondersteunende functies er periodiek aan worden herinnerd hoe efficiënter kan worden gewerkt en het aantal fouten kan worden verminderd.  “Er wordt nog steeds hard gewerkt aan goede interne communicatie”, zei Mrak. “Ik loop nog steeds alle afdelingen af om het belang hiervan te onderstrepen. Ik leg telkens weer uit: we moeten processen stroomlijnen, we moeten automatiseren.”

Volgens Mrak kan het wel tot 2020 duren voordat functionaliteit voor geautomatiseerde verwijdering en vervaldatums in verouderde systemen is geïmplementeerd. Dit is moeilijk te verkopen, met name omdat GDPR niet direct bijdraagt aan een beter bedrijfsresultaat.

“Ik zal jullie een geheim vertellen: we verdienen geen geld met GDPR”, zei Mrak droog. Maar tegelijkertijd is volgens hem naleving direct gerelateerd aan klantbehoud en klantervaring.

Dat bleek ook uit Cisco’s onderzoek over gegevensprivacy, waarin 41% van de respondenten aangaf concurrentievoordeel te hebben behaald dankzij hun investeringen in privacy om GDPR-ready te worden.

“Als je kunt communiceren ‘We doen er alles aan om uw gegevens te beschermen. Wie vertrouwt u als u geld uitgeeft?’, hebben [bedrijven] een kans om klanten te winnen”, aldus Mrak.

Aan de andere kant kunnen bedrijven grote verliezen lijden als zij gegevensprivacy niet goed aanpakken.

“Als u van mening bent dat naleving duur is, wat dacht u dan van niet-naleving”, zei Mrak.

Lauren Horwitz is de Managing Editor van Cisco.com. Zij richt zich in die functie op de IT-infrastructuurmarkt en ontwikkelt contentstrategie. Hiervoor was zij Senior Executive Editor bij de Business Applications and Architecture Group van TechTarget, Senior Editor bij Cutter Consortium (een IT-onderzoeksbedrijf) en Editor bij The American Prospect (een politiek tijdschrift). Horwitz heeft prijzen ontvangen van de American Society of Business Publication Editors (ASBPE), een Best of the Web-prijs en de Kimmerling Prize voor beste afstudeerscriptie voor haar redactiewerk van het tijdschriftartikel ‘The Fluid Jurisprudence of Israel’s Emergency Powers’.