Het Europees Parlement geeft jouw organisatie tot 25 mei 2018 om aan de wet General Data Protection Regulation (GDPR) te voldoen. Wat gaat er voor jouw organisatie veranderen? Welke acties dien je te ondernemen? En waar kun je het best beginnen? In dit blog geef ik antwoord op alle belangrijke vragen rondom de nieuwe privacywetgeving.
De GDPR-verordening telt 260 pagina’s en 99 artikelen aan privacyregels. De volledige tekst kun je gewoon op internet vinden. Maar om het enigszins behapbaar te houden, beperk ik me in dit blog tot de hoofdzaken.
Wat moet je écht weten over GDPR?
De GDPR (in het Nederlands: de Algemene Verordening Gegevensbescherming) is bedoeld om burgers controle te geven over de gegevens die bedrijven over hen opslaan. Burgens kunnen zich vanaf mei gaan beroepen op aangescherpte rechten, waaronder het recht om vergeten te worden en het recht van overdracht.
Wat betekent dit voor jouw organisatie?
Om burgers de kans te geven “vergeten te worden”, is het belangrijk dat je alle opgeslagen persoonlijke gegevens van een individu op zijn of haar verzoek kunt vernietigen. Het recht van overdracht schrijft voor dat je alle opgeslagen persoonlijke gegevens van een individu op zijn of haar verzoek moet kunnen overdragen aan een ander bedrijf. Bijvoorbeeld als die persoon overstapt naar een andere bank.
Wie gaat dit centraal controleren?
Dat doet de Autoriteit Persoonsgegevens (AP). Je hoeft niet bang te zijn dat dit zelfstandige bestuursorgaan op zaterdag 26 mei al meteen op de stoep staat om eens grondig te onderzoeken hoe jullie omgaan met persoonsgegevens. Nee, de autoriteit komt pas in actie nadat het een melding heeft ontvangen. Het ligt echter wel in de lijn der verwachting dat de autoriteit na 25 mei een aantal schrijnende gevallen fiks gaat aanpakken, om duidelijk te maken wat de gevolgen kunnen zijn.
Wat als jouw organisatie wordt doorgelicht?
Als de AP een melding heeft ontvangen en een onderzoek instelt, nemen ze eerst een aantal interviews af binnen en buiten jouw organisatie. Het is daarbij belangrijk dat je kunt aantonen dat jullie de nieuwe regelgeving serieus nemen en dat jullie serieuze stappen nemen om aan de eisen te voldoen. Hebben jullie nog niets gedaan om de veiligheid van persoonsgegevens te borgen? Dan zijn jullie de sigaar.
Wat zijn de gevolgen?
Die zijn niet mis. Daarom zie ik vier belangrijke redenen om de GDPR serieus te nemen en de juiste stappen te zetten.
- Het financiële risico. GDPR-boetes kunnen oplopen tot 4% van jullie (wereldwijde) omzet, met een maximum van 20 miljoen euro.
- Als blijkt dat jouw organisatie onzorgvuldig met persoonsgegevens omgaat, kan dat flinke imagoschade opleveren. En die impact kan vele malen groter zijn dan de financiële schade.
- Positieve aandacht. Als jouw organisatie zorgvuldig omgaat met klantinformatie, kun je dat op een positieve manier gaan communiceren. Zo geef je het imago juist een boost en bouw je aan het klantvertrouwen.
- Kwaliteit van bedrijfsvoering. De procedures die je gaat opstellen om de overgang in goede banen te leiden, komen de kwaliteit en effectiviteit van de bedrijfsvoering alleen maar ten goede.
Wat moet je doen?
Een aantal procedures, processen, manieren van registratie én van organisatie dient te worden aangepast. Zo moet je straks precies weten wáár in jouw organisatie de persoonsgerelateerde gegevens zijn opgeslagen. Als je dat eenmaal in kaart hebt gebracht, kun je nieuwe procedures gaan formuleren voor het inzien en corrigeren van persoonsdata. Een nieuw aan te stellen Data Protection Officer ziet toe op de naleving van de wetgeving, treedt op als interne adviseur en werkt samen met de Autoriteit Persoonsgegevens. De taken, verantwoordelijkheden en bevoegdheden van deze persoon dienen duidelijk te worden omschreven.
Waar kun je nou het best beginnen?
Een datawarehouse is een goed startpunt, omdat het je precies vertelt wáár alle gegevens over medewerkers, leveranciers, klanten en medewerkers zijn opgeslagen. Al die gegevens komen immers samen in het datawarehouse en om de oorsprong van de informatie te vinden, hoef je alleen maar de draadjes terug te volgen naar de juiste bronnen en systemen.
Bij Inergy ademen wij data. Dag in dag uit helpen we onze klanten met hun datavraagstukken. We kennen de wet, en weten wat je aan de voorkant en aan de achterkant moet regelen om compliant te zijn. We hebben zelfs een uitgebreide scan ontwikkeld waarmee we onze klanten helpen snel te bepalen hoe ze scoren op GDPR-gebied en wat er nog verbeterd moet worden.
