Door: Abbas Shahim
In mijn blog Drie voordelen van invoering van GDPR voor je organisatie liet ik zien hoe de invoering van de Global Data Protection Regulation (GDPR) een positief effect kan hebben op een organisatie.
Nu vertel ik waarom compliance zo belangrijk is en geef ik 5 tips om je organisatie klaar te stomen voor de nieuwe GDPR.
Allereerst over naleving van de regels, ook wel ‘compliance’ genoemd. Ongeacht alle verschillende definities gaat dit wat mij betreft over de volgende twee belangrijke principes:
- Je bent bevoegd om met data om te gaan – Met name banken, ziekenhuizen of overheidsinstanties werken met vertrouwelijke gegevens. Dan is compliance een must! Er komt steeds meer regelgeving voor dit soort organisaties en daarom is het belangrijk dat het naleven van de regels onderdeel is van de dagelijkse processen. Het kan niet meer iets zijn wat slechts één keer per jaar gecheckt wordt.
- Gedrag en cultuur van de organisatie – Compliance zou in het DNA van de gehele organisatie moeten zitten. Het initiatief komt nu vaak vanuit de directie, maar regelgeving zou voor iedere medewerker gesneden koek moeten zijn. Wanneer het uitsluitend van bovenaf wordt opgedrongen, kan de organisatie hierop vastlopen.
Het gaat hierbij niet alleen over het technische proces maar ook hoe het naleven van de regels geïntegreerd is in bedrijfsprocessen en welke informatie hierover beschikbaar is. Aan de hand van de volgende tips kunnen organisaties zich voorbereiden op de invoering van GDPR.
- Kennis van data governance – Voordat je begint aan een compliance-project is het belangrijk dat je weet wat de herkomst van data is, in welk systeem of applicatie de data zich bevindt en of de gegevens accuraat en compleet zijn. Wanneer er een derde partij betrokken is, dan moet het duidelijk zijn waar de data is opgeslagen en wie de eigenaar is.
- Analyseer de huidige en gewenste situatie – Waarschijnlijk hanteert je organisatie al een privacybeleid en de daarvoor benodigde applicaties. Ga na of dit voldoet aan de nieuwe GDPR-regelgeving en analyseer waar eventuele aanpassingen of uitbreidingen nodig zijn.
- Pak de zwakke plekken aan – Zodra je weet waar de zwakke plekken zitten – bijvoorbeeld in de HR- of financiële afdeling – kan je maatregelen nemen en bijvoorbeeld nieuwe controlemechanismes implementeren om de geldende wet- en regelgeving te kunnen naleven.
- Maak gebruik van encryptie – Of het nu gaat om de persoonlijke gegevens van klanten, leveranciers of medewerkers, door deze data te versleutelen zullen persoonsgegevens altijd beter beveiligd zijn. Toch blijft er sprake van een privacyrisico, bijvoorbeeld wanneer iemand zonder toestemming deze data voor andere doeleinden gebruikt.
- Laat compliance zien en maak informatie traceerbaar – Wanneer je aan alle regels voldoet, is het belangrijk om alle data beschikbaar te hebben voor audits. Het is de moeite waard om een derde partij in te schakelen die de kwaliteit kan waarborgen, voordat de audit plaatsvindt. We helpen internationale organisaties door aan te tonen dat zij de regels naleven.
Privacy is ontzettend belangrijk voor mensen en daarom moeten organisaties een helder beeld hebben van het datalandschap, zodat zij kunnen aantonen dat zij zich aan de regels houden. Dit is goed voor het vertrouwen van de leveranciers, de klanten en de maatschappij. Het duurt niet lang meer voordat GDPR van kracht wordt, dus beoordeel nu of je data governance in orde is en of alle privacy- en beveiligingsmechanismes goed genoeg functioneren.