nieuws

De klokt tikt voor de data-deadline

Schade 1466

De invoering van de nieuwe Algemene verordening gegevensbescherming in mei 2018 nadert met rasse schreden. Welke voorbereidingen moeten bedrijven treffen?

De klokt tikt voor de data-deadline

De naam van Europa’s nieuwe verordening gegevensbescherming is misschien niet zo spannend, maar de mogelijke boetes zijn dat wel. Als de nieuwe Algemene verordening gegevensbescherming (AVG) in mei 2018 van kracht wordt, kunnen bedrijven die niet aan de eisen voldoen een boete van twee tot vier procent van hun totale omzet tegemoetzien.

De verordening is van toepassing op alle bedrijven die met persoonlijke gegevens van EU-inwoners werken, zelfs als het bedrijf zich buiten de EU bevindt. Toch bleek uit een onderzoek van Dell in oktober 2016 dat 97 procent van de bedrijven nog geen plan heeft opgesteld om aan de nieuwe eisen te voldoen.

Wettelijke eisen

De AVG bouwt grotendeels voort op bestaande gegevensbeschermingsregels die worden uitgebreid met wettelijke eisen. Een goed voorbeeld is het handhavingsbeleid. Dat maakt het voor toezichthouders mogelijk veel hogere boetes op te leggen als een bedrijf niet aan de voorschriften voldoet. Een andere grote verandering is de eis om toezichthouders binnen 72 uur over een beveiligingslek te informeren.

Ook de regels rond de instemming om iemands persoonlijke gegevens te mogen gebruiken, veranderen. In het privacybeleid dat aan gebruikers wordt verstrekt, moet duidelijker beschreven worden hoe gegevens precies worden gebruikt. Consumenten krijgen nieuwe rechten om hun voorkeuren aan te passen, vergeten te worden en hun gegevens van de ene dienstverlener naar de andere over te hevelen. Sommige organisaties moeten een medewerker voor gegevensbescherming aanstellen en de privacygevolgen van risicovolle projecten beoordelen voordat het project van start kan gaan.

Als we vooruitkijken naar mei, zijn er een aantal basisstappen die organisaties moeten zetten om zich voor te bereiden.

Data mapping

Data mapping is de eerste stap die organisaties moeten zetten, ofwel in kaart brengen welke gegevens er zijn en hoe ze gebruikt worden. Andrew Dyson, partner bij advocatenkantoor DLA Piper, legt uit: “Breng in kaart welke gegevens er zijn, waar ze zich bevinden, wie ze gebruikt en hoe ze beheerd worden. Onderzoek tegelijkertijd waar de gaten zitten: waar verzamel je data maar gebruik je geen geschikt privacybeleid? Op welke momenten ontvang je niet de juiste instemming? Waar zet je een externe partij in om je systemen te beheren maar worden de gegevens in het kader van dit contract niet juist beheerd?”

Cultuurverandering

Zorg dat belangrijke personen zich verantwoordelijk voelen voor compliance en het belang van AVG voor het hele bedrijf begrijpen. Dyson zegt hierover: “De organisatie moet een raamwerk van verantwoordelijkheden ontwikkelen. Dat kun je gebruiken om aan een toezichthouder te laten zien dat je weet wat je verantwoordelijkheden zijn en dat je een duidelijk plan en beleidsregels hanteert om de compliance binnen het bedrijf in goede banen te leiden. Voor het verkleinen van risico’s is dit van groot belang.”

Inbreukbeleid

De kennisgevingstermijn van 72 uur is kort en dus is het van belang een solide beleid te hanteren voor het geval er een gegevenslek ontstaat. Zodra het lek is geconstateerd, moeten organisaties vaststellen of het om persoonlijke gegevens gaat en of de meldingsplicht van toepassing is. Is dat het geval, dan moet de toezichthouder geïnformeerd worden. Chubb’s Regional Manager for Cyber Risks, Continental Europe, Kyle Bryant, zegt hierover: “Er is een aantal eenvoudige maatregelen dat je kunt nemen. Zorg er bijvoorbeeld voor dat je communicatielijnen solide zijn. Als wij klanten adviseren, vragen we hoe een incident binnen de organisatie gemeld moet worden. Vervolgens bekijken we hoe ze de benodigde tijd daarvoor kunnen verkorten.”

Privacybeleid

De meeste privacybeleidsregels moeten bijgewerkt worden om aan de verplichtingen uit de AVG te voldoen. Dyson: “Mensen moeten beter geïnformeerd worden over de manier waarop hun gegevens worden gebruikt gaan. Dus in plaats van dat je zegt: ‘We zullen uw gegevens voor marketingdoeleinden gebruiken’, zul je je activiteiten stuk voor stuk moeten benoemen. Zo bied je meer inzicht in wat je met de gegevens doet en met wie je ze deelt. De rechten van de personen van wie je gegevens gebruikt, worden veel transparanter. Mensen hebben voortaan zelf meer invloed op wat er met hun gegevens gebeurt.”

ICT-infrastructuur en -beveiliging

Gebruikers moeten de mogelijkheid hebben om hun voorkeuren te wijzigen, hun gegevens te verplaatsen en om ‘vergeten te worden’. Dat betekent dat technische teams de systemen die momenteel gebruikt worden, zullen moeten aanpassen. Kyle Bryant moedigt zijn klanten daarnaast aan hun beveiliging te verbeteren: “Als de klant zijn systemen maar matig beschermd heeft, willen wij graag dat ze de lat wat hoger leggen. We moeten ervoor zorgen dat zo goed mogelijk zijn voorbereid.”

Dit is een partnerbijdrage van Chubb. Bekijk hier een volledig overzicht van partnerberichten van Chubb.

Reageer op dit artikel