Menu

Uw eerste stappen richting AVG compliance

De GDPR, de nieuwe Europese algemene verordening voor de bescherming van data, wordt van kracht op 25 mei 2018. Wat betekent de nieuwe wetgeving voor uw organisatie, en hoe wordt er in andere organisaties wereldwijd naar gekeken? Welke consequenties zijn er verbonden aan non-compliance en wat zijn de eerste stappen die u nu kunt nemen?

Het onderstaande artikel is tot stand gekomen met de hulp van Gabrielle Lafontaine, van onze SharePoint partner ShareGate.

Op wie is de GDPR van toepassing?

Als uw organisatie op wat voor manier dan ook persoonlijk identificeerbare data van Europese burgers behandelt, zal de wet ook effect op u hebben. Ongeacht de geografische locatie waar uw organisatie gebaseerd is. De GDPR vertegenwoordigt een grote verandering ten aanzien van huidige wetgeving op het gebied van persoonsgegevens, en zal van toepassing zijn op vrijwel iedere sector en iedere organisatie ter wereld. De nieuwe wet betekent ook een groter bereik voor wat betreft de betrokken bedrijven en de boetes voor het niet-compliant zijn. Meer weten over de impact die de GDPR zal hebben voor de bedrijfsvoering in uw organisatie? Bekijk dan dit artikel:

GDPR: veranderingen en straffen bij non compliance

Voldoen aan de nieuwe Europese regels voor dataprotectie verandert veel aan de manier waarop organisaties werken. Veel organisaties zullen een Data Protection Officer (DPO) moeten aannemen, om ervoor te zorgen dat het bedrijf de regels correct volgt. Ieder bedrijf zal een proces moeten inrichten voor het melden van een datalek. U zult een procedure moeten invoeren om burgers te voorzien van het “recht om vergeten te worden”. En zo zijn er nog veel meer processen die ingericht zullen moeten worden. Niet voldoen aan de GDPR kan ondertussen gigantische boetes opleveren (tot wel €20 miljoen of 4% van de totale omzet in een jaar). En daarnaast natuurlijk de bijbehorende reputatieschade. De doelen van de nieuwe wetgeving zijn onder andere om Europese burgers betere controle te bieden over hun persoonlijke data, en het gelijktrekken van wetgeving rondom dataprotectie over de hele EU.

Is uw organisatie er klaar voor?

Ondanks de strengere straffen, is 54% van de organisaties nog niet begonnen met het voorbereiden op de GDPR. Als uw organisatie er één is die haar strategie nog niet op orde heeft om tot compliance te komen, kunt u het beste nu beginnen.

Onzekerheid en bezorgdheid

Het probleem met de GDPR is voor veel organisaties niet dat ze niet beseffen wat voor schade non-compliance kan opleveren. Het is vaak eerder zo dat ze onzeker zijn over de te nemen stappen om compliant te worden. Onderzoek van onafhankelijk research specialist Vanson Bourne wijst uit dat 86% van de organisaties wereldwijd bezorgd zijn dat het niet voldoen aan de GDPR een grote negatieve impact kan hebben op hun business. Hetzelfde onderzoek laat zien dat 47% van de bedrijven verwacht dat ze niet op tijd aan de vereisten van de nieuwe wetgeving zullen kunnen voldoen. Sterker nog, bijna één op de vijf organisaties gelooft dat niet compliant zijn uiteindelijk kan zorgen voor de ondergang van het bedrijf. Moeten we nu dus in de paniek-modus gaan zitten? Nee. Helder inzicht in wat er nu speelt, en het planmatig nemen van enkele stappen zijn wat u als eerste nodig heeft.

Assesment en een stappenplan

Voordat uw organisatie eventuele problemen met uw datamanagement kan oplossen, moet u die eerst in kaart brengen. Daarvoor is een assessment van de huidige staat nodig, zodat u vervolgens de benodigde stappen kunt zetten richting GDPR compliance. Net zoals de kunst van een geslaagde migratie, heeft u wat planning nodig om zich ervan te verzekeren dat ook uw organisatie compliant wordt. De juiste planning en voorbereiding zorgen ervoor dat iedereen in uw organisatie weet wat ze te doen staat.

  1. Breng in kaart welke data u verzamelt

     

    De GDPR zal de bedrijfsvoering in uw organisatie op verschillende manieren beïnvloeden, afhankelijk van de soorten data die u verzamelt met uw activiteiten. Sommige organisaties beschikken over afbeeldingen van hun personeel, IP-geschiedenis, of persoonlijke identificatie van hun klanten. Afhankelijk van het soort informatie dat u verzamelt, moet u een strategie bedenken voor het managen daarvan onder de nieuwe wetgeving.

  2. Informeer en train uw medewerkers

     

    De GDPR is absoluut niet slechts een zaak van de IT-afdeling. Uw hele organisatie moet meer verantwoordelijk en meer bewust bezig gaan met de data die zij onder handen krijgt, die betrekking heeft op klanten uit de EU. De meeste van uw medewerkers, van de winkelvloer tot aan HR en van sales tot marketing, hebben op wat voor manier ook persoonlijk identificeerbare informatie onder handen. De nieuwe regels zullen hoe dan ook impact hebben op de manier waarop zij hun werk doen. Zorgen dat uw medewerkers over alle teams en afdelingen heen zich bewust worden van de veranderingen, moet een hoge prioriteit hebben.

  3. Review de systemen en de data die u nu heeft

     

    U moet er straks voor zorgen dat uw beleid, procedures én technologie voldoen aan de wetgeving. U moet dus onder andere weten:

  • Waar u de data van uw klanten opslaat;
  • Wat uw methode is voor het melden van een datalek aan betrokkenen;
  • Hoe uw organisatie een back-up regelt voor data en hoe data versleuteld wordt;
  • Of het data management dat u eventueel extern laat doen GDPR compliant is;
  • Hoe u alle data behorend bij een klant terugvindt en verwijdert, zoals dat vastgelegd in de “right to be forgotten” clausule.
  1. Wijs een Data Protection Officer (DPO) aan

     

    Onder de GDPR zijn organisaties met 250 of meer medewerkers verplicht om een DPO aan te wijzen. Zelfs als uw organisatie kleiner is dan dat, is het aan te raden dat u iemand aanstelt die verantwoordelijk is voor data compliance, of tenminste de samenwerking met een consultant aangaat. Uw DPO moet de juiste kwalificaties hebben, niet per se als jurist maar wel met expertise met betrekking tot de beveiliging en bescherming van data. Deze persoon moet daarnaast goed snappen hoe uw organisatie werkt en up-to-date blijven van de laatste regels en wetgeving en de impact daarvan op uw systemen en processen. Het is belangrijk dat deze rol zo snel mogelijk wordt ingevuld.

  1. Review en verfijn

     

    De GDPR zou niet iets moeten zijn dat uw organisatie vreest. U kunt deze verandering namelijk ook zien als een mogelijkheid om uw business processen te evalueren die te maken hebben met data en governance. En om deze processen zo nodig te veranderen en verbeteren.

Hulp bij uw reis naar GDPR compliance?

U heeft nog een jaar om te zorgen dat u GDPR compliant bent. Als Microsoft partner willen wij u graag informeren over en begeleiden bij de veranderingen in het omgaan met persoonlijke data van uw klanten, partners, en leveranciers die de GDPR vereist. Het proces richting GDPR Compliance betekent een verandering op vele vlakken. Bijvoorbeeld in uw document management, in bedrijfscultuur; in technische infrastructuur en in processen. Samen met onze partners Microsoft, Mavim en Audittrail helpen we u om een stappenplan uit te werken dat resulteert in een levende “GDPR scorecard” waarmee u de correcte omgang met persoonlijke data binnen uw organisatie kunt monitoren.