Een wake-upcall voor de Europese privacywetgeving

Veel organisaties onderschatten de implementatie van de nieuwe Europese privacyregels. PwC-expert Yvette van Gemerden geeft een stappenplan.

De wake-upcall klinkt. Niet voor de eerste keer, maar ik hoop dat hij nu schel genoeg is. De nieuwe Europese wetgeving voor bescherming van persoonsgegevens is regelmatig in het nieuws en menig expert waarschuwde al dat veel bedrijven te laat wakker zijn geworden. Vanaf mei 2018 riskeren zij hoge boetes.

Daar ben ik het zonder meer mee eens. Vanuit PwC komen mijn collega’s en ik de laatste maanden regelmatig over de vloer bij (grote) bedrijven, waaronder multinationals, om ze te helpen met de implementatie van de zogeheten General Data Protection Regulation (GDPR). In Nederland ook bekend als de Algemene Verordening Gegevensbescherming (AVG). Daarbij blijkt eigenlijk steeds dat die bedrijven de nieuwe wetgeving erg hebben onderschat.

Belangrijkste veranderingen

Nog even kort de belangrijkste veranderingen op een rij: organisaties moeten vanaf eind mei 2018 meer inzicht geven in de manier waarop ze persoonsgegevens verwerken, ze moeten verantwoordelijken op privacygebied benoemen (een data protection officer) en zogenoemde privacy by design- en privacy by default-principes doorvoeren. Daarnaast krijgen individuen het recht ‘om vergeten te worden’ en om persoonsgegevens te laten overdragen (data portability). Als een organisatie een dergelijk verzoek krijgt, moet ze dus precies weten waar de gegevens van die persoon zijn opgeslagen en aan welke derde partijen ze mogelijk zijn doorgegeven. Verder gelden er strenge regels rondom het melden van datalekken. Als bedrijven in gebreke blijven, kunnen ze boetes krijgen tot meer dan vier procent van de wereldwijde jaaromzet of twintig miljoen euro.

Waar u moet beginnen

‘Waar moeten we beginnen?’ ‘Halen we de deadline nog wel?’ Vragen die we nu steevast krijgen als we dit beeld schetsen. Soms zijn bedrijven eerst zelf gaan ‘klussen’ of hebben ze een zzp’er ingehuurd. Maar daarvoor is de klus gewoon te groot. Het Europees Parlement heeft niet voor niets bedrijven en andere instanties die data verwerken, twee jaar de tijd gegeven om aan de regels te voldoen. De implementatie van de wetgeving, die vooral is bedoeld om burgers meer te beschermen, is niet een ‘IT-projectje’, maar heeft invloed op alle geledingen van een organisatie.

Hoe gaat u nu te werk als u net bent wakker geschrokken? Volg dan in elk geval de volgende stappen:

1. Creëer awareness

Zorg dat iedereen binnen de organisatie zich bewust is van de veranderingen en de mogelijke consequenties als men geen actie onderneemt. De meest logische persoon die dit in gang zet, is de CIO. Of het hoofd van de juridische afdeling. Breng de wetgeving ook onder de aandacht van het bestuur. Belangrijk is dat er budget beschikbaar komt en dat duidelijk is wie verantwoordelijk wordt voor de hele implementatie. In veel gevallen richt een bedrijf een stuurgroep of privacy office in met vertegenwoordiging vanuit meerdere disciplines, zoals IT/security, compliance en/of legal. Het is belangrijk dat niet uitsluitend de mogelijke boetes de drijfveer zijn, maar vooral ook de gevolgen voor betrokkenen en de organisatie als geheel.

2. Maak een plan van aanpak

Inventariseer welke afdelingen binnen de organisatie bij de implementatie van GDPR moeten worden betrokken. Bedenk daarbij dat de nieuwe privacyregels op de hele organisatie van invloed zijn. Dus naast de IT- afdeling moeten zeker ook marketing, verkoop, HR en de juridische afdeling worden betrokken.

3. Bepaal de huidige situatie

Breng in kaart waar en in welke systemen persoonsgevens binnen de organisatie zijn opgeslagen, voor welke doeleinden dat gebeurt en naar welke derde partijen ze mogelijk worden doorgestuurd (datamapping). Deze mag niet worden onderschat. Het kost veel tijd om alle systemen waarin persoonsgegevens worden verwerkt, in kaart te brengen en die te classificeren. Dit is echter wel een belangrijk vereiste in de GDPR en tevens een noodzakelijke voorwaarde om aan de overige verplichtingen in de GDPR te kunnen voldoen.

Met behulp van een door PwC ontwikkelde tool is snel vast te stellen hoe ‘volwassen’ een organisatie is op het gebied van omgang met persoonsgegevens.

4. Identificeer de noodzakelijke maatregelen

Met een eenvoudige nulmeting zijn de noodzakelijke activiteiten te identificeren om tot de gewenste staat van compliance te komen.

5. Ga aan de slag

Als u weet welke aanpassingen u moet doorvoeren om aan de regelgeving te voldoen, is het verstandig een duidelijke roadmap op te stellen gebaseerd op een prioritering van de risico’s. Systemen waarin de grootste hoeveelheden en de meest gevoelige persoonsgegevens worden verwerkt en die het meest kwetsbaar zijn voor datalekken, moeten u eerst beoordelen.

Bij dit alles is het belangrijk dat de organisatie steeds duidelijke keuzes maakt bij de verwerking van persoonsgegevens en duidelijk vastlegt voor welke doeleinden ze worden gebruikt. Voor een reisorganisatie zijn andere gegevens interessant dan voor een financiële instelling.

‘Er heerst paniek’, was deze week de boodschap in de berichtgeving. In paniek raken is nog niet nodig, maar het is voor bedrijven wel zaak dat ze snel de juiste voorbereidingen treffen als ze dat nog niet hebben gedaan. De wekker op ‘snooze’ zetten, is geen optie meer.

Contact

Yvette van Gemerden

Partner, PwC Netherlands

Tel: +31 (0)88 792 54 42

Volg ons