Artikel:

Is uw organisatie al GDPR-proof?

29 november 2018

Is uw organisatie nog niet GDPR-proof? Een geruststellende gedachte: u bent niet alleen. Hoewel de GDPR, ofwel de Algemene Verordening Gegevensbescherming (AVG), op 25 mei 2018 van kracht is geworden, worstelen veel organisaties nog met de implementatie. Het gros zal pas in de loop van 2019 GDPR-proof zijn. Hoe dat komt, vertellen Robert van Vianen en Sandra Konings, beiden partner bij BDO en specialist op het gebied van cybersecurity en privacy.

Hoe komt het dat men nog niet klaar is met de implementatie van de AVG?

Van Vianen: “Het afgelopen half jaar heeft AP-voorzitter Aleid Wolfsen zich meerdere malen uitgelaten over de GDPR en de implementatie hiervan. Het zijn vermanende geluiden: ‘Als u niet snel in actie komt, dan...’. Maar dergelijke geluiden roepen vooral ook wrevel op, terwijl de vorderingen die in de publieke en profitsector worden gemaakt ruimschoots onvoldoende blijven. In onze ogen is die negatieve manier van communiceren over dit dossier mede debet aan de huidige situatie. Organisaties worden niet of nauwelijks aangesproken op hun verantwoordelijkheid naar klanten, burgers, stakeholders, maatschappij en op de kwaliteit van hun informatiehuishouding. De concentratie op compliance en het ontlopen van boetes creëert een afvinkcultuur die organisaties niet de inspiratie biedt om afdoende in beweging te komen op dit dossier. Bovendien: de GDPR is een intelligent geformuleerde wet die een dergelijke afvinkmentaliteit allesbehalve beloont.”

Konings: “Vaak weten organisaties ook niet welke regels voor hen gelden en hoe de GDPR invloed heeft op aanpalende wetgeving. Neem als voorbeeld een organisatie waar seizoensarbeid aan de orde is. Dergelijke organisaties hebben te maken met een ingewikkeld pakket aan wetgeving waar nu de GDPR bij is gekomen.”

Hoe hebben organisaties de GDPR ontvangen?

Van Vianen: “Voor veel bestuurders is de GDPR zo’n wet als al die andere nieuwe wetten, waarvan ze de consequenties in hun organisatie door moeten voeren. Het móet gebeuren, maar het is veel werk en het appelleert eerder aan het plichtsgevoel dan aan de begeestering. Dat is niet vreemd, maar het miskent een belangrijke realiteit. De GDPR staat in lijn met de organisatiestrategie (‘veilig’, ‘integer’, ‘verantwoordelijk’) van om het even welke organisatie en biedt de mogelijkheid om op dit gebied die strategie echt waar te maken, ofwel te promoveren van papier naar realiteit. Ons advies: interpreteert u deze wet niet als overheidsbemoeienis die uw dagelijkse bedrijfsvoering belast, maar als het startpunt van een proces waarmee u uw organisatiestrategie van een steviger fundament voorziet. Dan gaat het ineens heel anders leven.”

Tegen welke problemen lopen organisaties aan?

Konings: “Het begint al met de juridisch terminologie: organisaties worden geacht een ‘redelijke mate van maatregelen te nemen’. Wat is redelijk? Wanneer doe ik het nu goed? Dat verschilt van organisatie tot organisatie. Het beschermen van patiëntengegevens bij een zorginstelling vergt mogelijk meer maatregelen dan het beschermen van adresgegevens bij een transportbedrijf.” Van Vianen: “Een ander probleem is de complexiteit bij internationaal opererende bedrijven. De GDPR kan overruled worden door lokale wetgeving. De belastingwetgeving in Nederland bepaalt bijvoorbeeld de bewaartermijn van bepaalde data en overruled daarmee de GDPR. In andere landen kunnen die bewaartermijnen heel anders zijn. Een ander voorbeeld dat vlak over de grens speelt, is de aanstelling van een Data Protection Officer (Functionaris Gegevensbescherming). Onder bepaalde voorwaarden kan dat een verplichting zijn voor een organisatie. In Duitsland verschillen die voorwaarden echter per Bundesstaat.” Konings: “Dan is er nog de vraag over de verantwoordelijkheid voor de verwerking van persoonsgegevens. Bij veel organisaties is een deel van die processen of de ondersteunende IT uitbesteed. Het is van belang juridische afspraken te maken met de leveranciers over het correct verwerken van persoonsgegevens.”

Hoe pak je de bescherming van persoonsgegevens goed aan?

Konings: “Bedenk welke persoonsgegevens in de organisatie worden verwerkt en toets of dit noodzakelijk is. Neem vervolgens redelijke en aantoonbare maatregelen om deze gegevens af te schermen.” Van Vianen: “Werken aan een volwassen, professioneel informatieveiligheidsbeleid is van grote waarde voor elke organisatie. Los van wetgeving, boetebedingen en alle dreigementen waarmee ze gepaard gaan, doen organisaties er goed aan het werk te doen dat nodig is om te kunnen staan voor de veiligheid van de persoonsgegevens die ze onder beheer hebben. Daarmee genereren ze positieve impact op de professionaliteit van hun eigen medewerkers, versterken ze hun reputatie en leggen ze de basis voor de digitale toekomst van hun organisatie.”

Meer informatie

Op onze speciale GDPR-website delen we uitgebreide informatie over hetgeen er bij implementatie en borging van GDPR komt kijken én wat het organisaties kan opleveren. Ook bieden we hier een stappenplan en checklist. Wij ondersteunen u uiteraard graag bij de verdere implementatie en borging van GDPR binnen uw organisatie. Neem vrijblijvend contact op met een van onze specialisten.

Themamagazine Privacy & GDPR

In het eerder verschenen themamagazine over Privacy & GDPR biedt BDO interessante interviews met C-level bestuurders van grote organisaties, waaronder DHL, Simac en BKR-commissaris Kees Droppert. Zij geven hun visie op de GDPR en vertellen hoe de implementatie binnen hun organisatie is geregeld. Ook komen specialisten uit het multidisciplinaire privacy team van BDO aan het woord. Zij delen best practices en inzichten vanuit hun vakgebied, waaronder Legal, RAS en IT Audit. Download het magazine gratis via onderstaande button.

Download magazine