Het is bijna zes maanden geleden dat de GDPR van kracht werd en het is belangrijk om te inventariseren waar je je bevindt op je GDPR-pad en welke stappen nodig zijn om jezelf te beschermen. Er is al veel geschreven in de aanloop naar de implementatie van de GDPR en de potentiële impact ervan op bedrijven over de hele wereld. Maar zijn de krantenkoppen waar?
Met contrasterende adviezen vanuit alle hoeken is de grens tussen GDPR-feit en fictie vervaagd. Laten we verder kijken dan de hype.
Hoeveel staat vast?
Men is het er algemeen over eens dat veel aspecten van de GDPR en de implicaties ervan nog volledig moeten worden bepaald; zelfs de Europese Commissie erkent dit. Hoewel de nieuwe verordening één set regels bevat die rechtstreeks van toepassing zijn op alle EU-lidstaten, moet er nog steeds een groot deel van het werk op nationaal niveau kan worden gedaan. De Commissie besteedt 1,7 miljoen EUR aan de financiering van gegevensbeschermingsautoriteiten en training.
Niemand ontkomt eraan
Sommige mensen denken dat bedrijven met minder dan 250 werknemers niet hoeven te voldoen aan de GDPR. Hoewel het waar is dat sommige verplichtingen niet op hen van toepassing zijn, moeten ze over het algemeen nog steeds compliant zijn. Mkb’s met minder dan 250 werknemers hoeven bijvoorbeeld niet hun gegevensverwerkingsactiviteiten bij te houden, tenzij de verwerking van persoonsgegevens als een reguliere activiteit wordt beschouwd, een bedreiging vormt voor de rechten en vrijheden van individuele personen of gevoelige gegevens of strafregisters betreft.
Een andere misvatting betreft de locatie van de organisatie. Geen lid zijn van de EU sluit je niet uit van de GDPR. De verordening is van toepassing op elke organisatie die goederen of diensten (betaald of gratis) aanbiedt aan personen die zich in de EU bevinden en elke organisatie die het gedrag van personen in de EU monitort. Dus zelfs wereldwijde online bedrijven moeten de GDPR naleven om EU- klanten te blijven bedienen.
One size doesn’t fit all
GDPR-compliance is het meest begeerde doel van 2018 geworden. Er bestaat echter geen enkelvoudig product waarmee je dat realiseert.
Het oude cybersecurity-adagium geldt ook voor de GDPR; het is een combinatie van mensen + proces + technologie. Het valt zeker niet alleen binnen het domein van de IT-afdeling, maar moet de hele organisatie mobiliseren. Het moet worden aangepakt met een combinatie van organisatorische veranderingen en technologie.
De boetes zijn afhankelijk van context
De meeste stukken over de GDPR beginnen met een waarschuwing over de mogelijke monetaire sancties waarvoor je aansprakelijk bent wanneer je de regels niet naleeft (tot €20 miljoen of 4% van de totale jaarlijkse wereldwijde omzet van het bedrijf). Dit vereist echter contextualisering. Het is zeker waar dat deze sancties bestaan, maar vergeet niet dat de autoriteit ervoor moet zorgen dat de boetes die in elk afzonderlijk geval worden opgelegd, doeltreffend, evenredig en ontmoedigend zijn.
De autoriteit zal rekening houden met een aantal factoren, zoals de aard, de ernst en de duur van de inbreuk, het opzettelijke of nalatige karakter ervan, alle maatregelen die genomen zijn om de door individuele personen geleden schade te verminderen en de mate van medewerking van de organisatie. Met andere woorden, als je werkt aan compliance, je uiterste best hebt gedaan, je procedures hebt gedocumenteerd, systemen en technologie hebt geïmplementeerd, kun je mogelijk de volledige hoogte van de eventuele boetes onder de GDPR vermijden.
Geen paniek, zet stappen
Zet nu een aantal stappen om ervoor te zorgen dat je organisatie in de beste positie voor de toekomst komt.
De nieuwe verordening gaat over gegevens. Organisaties slaan hun gegevens doorgaans echter niet op één centrale locatie op; in werkelijkheid zijn de gegevens verspreid over meerdere verschillende systemen en locaties. Bovendien zijn niet alle gegevens hetzelfde. Sommige worden opgeslagen als gestructureerde gegevens, terwijl andere gegevens, zoals documenten en e-mails, ongestructureerd zijn. De locatie van gegevens varieert ook, inclusief de verschillende interne systemen, maar er wordt steeds meer extern opgeslagen in openbare cloudomgevingen, zoals SaaS-gebaseerde applicaties.
Begin daarom met een inventarisatie (welke gegevens heb ik?) en classificatie (valt het onder persoonlijke gegevens?) van de data. Dit moet een verificatie omvatten van de noodzaak van een gegevensbeschermingseffectbeoordeling (DPIA) wanneer je gegevens verwerkt die waarschijnlijk een hoog risico voor de rechten en vrijheden van personen vormen.
Wanneer je persoonlijke gegevens verzamelt, moet je er nu voor zorgen dat je de personen wiens gegevens je opvraagt, duidelijk op de hoogte brengt. Wanneer je om toestemming vraagt om gegevens te verzamelen en te verwerken, moet je aangeven wie je bent (inclusief je DPO, als je die hebt), waarom je de gegevens nodig hebt (inclusief de juridische motivering waarom je de gegevens wilt verwerken), voor hoe lang je de gegevens bewaart en of anderen, zoals verwerkers, de gegevens zullen ontvangen (ook als deze buiten de EU worden verzonden).
Je moet deze personen ook op de hoogte brengen van hun rechten met betrekking tot hun persoonsgegevens op het moment van verzamelen en dat zij het recht hebben om een kopie van de gegevens te ontvangen, een klacht in te dienen bij de lokale gegevensbeschermingsautoriteit en dat ze hun toestemming op ieder gewenst moment kunnen intrekken.
Zoals met alle nieuwe regels, is mentaliteitsverandering het belangrijkste deel van de puzzel. Zorg ervoor dat je team aan boord is en je bent goed op weg naar compliance.