Het Europees Parlement heeft na vier jaar onderhandelen op 14 april 2016 de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) goedgekeurd. De nieuwe wetgeving vervangt – en gaat verder dan – de EU-richtlijn gegevensbescherming van 1995.
De GDPR is van toepassing op alle organisaties die data van EU-burgers verwerken, bewaren of gebruiken. Ook voor organisaties die niet actief zijn in de EU maar EU-burgers tewerkstellen of EU-burgers als klanten en/of leveranciers hebben, geldt de verordening. De sancties voor niet-naleving van de GDPR kunnen aanzienlijk oplopen, tot zelfs 4 procent van de globale omzet van een bedrijf.
Organisaties die onder de nieuwe wetgeving vallen, hebben twee jaar de tijd vanaf de datum waarop de GDPR in voege trad, dus tot 25 mei 2018, om hun huidige praktijken en procedures te herzien en zich in regel te stellen. Door de vrij lange uitstelperiode denken heel wat bedrijven dat ze ruimschoots de tijd hebben. Toch onderschatten ze best niet het complexe proces om aan de GDPR te voldoen.
Veel organisaties staan voor een grote opgave, vooral als ze actief zijn in meerdere landen. Zij hebben het nu al moeilijk om consistent en op globale basis aan de huidige privacywetgeving te voldoen. We denken dat veel van die bedrijven een andere aanpak zullen moeten hanteren om de bescherming van persoonsgegevens in de toekomst te vrijwaren. Sommige organisaties moeten mogelijk hun volledige businessmodel herzien.
Kort gezegd moeten ze snel handelen om het vereiste inspanningsniveau te bepalen om aan de nieuwe wetgeving te voldoen en de geschikte verbeteringsplannen waar nodig te implementeren. Dit artikel bevat de essentiële stappen voor organisaties om een succesvol GDPR-complianceprogramma op te zetten en vertelt waarmee ze tijdens het hele proces rekening moeten houden.
GDPR: de juiste leidinggevende voor het programma kiezen
De GDPR is uiteindelijk een compliancebehoefte. Daarom ligt de verantwoordelijkheid van het project meestal bij compliance- en/of interne juridische teams. Toch betekent dat niet noodzakelijk dat die functies het best geplaatst zijn om het project te beheren. Uit ervaring weten we het volgende:
- In de meeste gevallen denken we dat het juridische team niet de lead moet nemen. Mogelijk focussen organisaties daardoor in eerste instantie te veel op het uitstippelen van het beleid, de procedures en modelovereenkomsten.
- Wie instaat voor compliance is mogelijk ook niet het meest geschikt om het programma te leiden.Om te voldoen aan de GDPR, moeten bedrijven waarschijnlijk aanzienlijke risicoanalyses uitvoeren en pragmatisch te werk gaan bij de interpretatie van de wetgeving. Ook al kan de complianceverantwoordelijke risico’s aankaarten, is hij doorgaans niet verantwoordelijk voor beslissingen met betrekking tot risico’s.
- Het informatiebeveiligingsteam neemt ook beter niet de leiding.GDPR is geen informatiebeveiligingsprogramma. Beveiliging is een onderdeel van het programma en wordt vaak geassocieerd met privacy. Maar het is maar een van de vele elementen van GDPR-compliance – en de focus op informatiebeveiliging is vaak overdreven. Informatiebeveiligingsteams besteden meestal te veel aandacht aan de bescherming van data of de preventie van dataverlies. Die activiteiten zijn belangrijk maar mogelijk van lagere prioriteit dan andere privacyprocessen die bedrijven moeten integreren om aan de GDPR te voldoen.
Fundamenteel gaat een GDPR-complianceprogramma over een gedragsverandering die je vaak moeilijk efficiënt kan doorvoeren bij een grote multinational of toeleveringsketen. Daarom moet iemand met de nodige competenties en autoriteit om op een globale basis veranderingen door te voeren in de hele organisatie, de lead nemen. De dagelijkse administratieve taken van de functie kan je delegeren, maar de eindverantwoordelijkheid moet bovenaan de hiërarchie liggen als een organisatie echt veranderingen wil doorvoeren.
Daarom geloven we dat bedrijven de verantwoordelijkheid voor het GDPR-programma best toewijzen aan de chief operating officer (COO) of een gelijkaardige functie in het seniormanagementteam. We denken ook dat die persoon, of iemand op hetzelfde of gelijkaardige niveau, de rol van data protection officer (DPO) of functionaris voor gegevensbescherming zou moeten opnemen.
De juiste DPO kiezen zal cruciaal zijn voor bedrijven om de GDPR succesvol na te leven
In de meeste gevallen is de DPO niet diegene die dezelfde rol onder de bestaande wetgeving vervult. De GDPR creëert heel wat nieuwe verplichtingen voor de DPO. De persoon in deze functie moet:
- weten hoe je een programma over een heel bedrijf coördineert en de nodige autoriteit hebben om veranderingen door te voeren. Enkel zo kan je de juiste controlesystemen in de bedrijfsprocessen integreren.
- doordacht oordelen en snel beslissingen met betrekking tot risico’s kunnen nemen om rapporteringsdeadlines te behalen.
- veranderingen kunnen teweegbrengen in de organisatie en een verdedigbare strategie voor de roll-out kunnen implementeren.
De burgerrechten van EU-burgers garanderen en hun instemming bekomen om boetes te voorkomen
In veel gevallen kan een geïsoleerd incident van dataverlies tot beperkte schade leiden – als de organisatie kan aantonen dat het tijdig het dataverlies heeft gerapporteerd en de omvang van de verloren data heeft kunnen beperken.
Maar de sancties in de GDPR zijn strenger voor organisaties die er niet in slagen om de burgerrechten van EU-burgers te garanderen. Denk aan het recht om vergeten te worden of aan de instemming van EU-burgers om hun data voor bepaalde doeleinden te gebruiken (bv. dataoverdracht).
Zo kan een bedrijf een boete krijgen als uit een onderzoek naar verdacht dataverlies blijkt dat het de data van een EU-burger misbruikte (bv. wanneer de naam van een burger die vroeg om vergeten te worden, toch op een mailinglijst staat, namelijk van een werknemer die die lijst manueel onderhoudt). Zelfs zonder dataverlies kunnen er sancties opgelegd worden.
Het proces starten
We geloven dat complianceprogramma’s veel succesvoller zijn als je een top-downaanpak hanteert
Daarom moeten bedrijven eerst hun bedrijfsmodel en inkomstenstromen bekijken om te begrijpen welke gevoelige privédata ze opslaan en hoe ze die gebruiken. Zo blijven ze gefocust op de grootste challenges met de hoogste risico’s.
Als het identificatieproces van data-elementen met hoog risico efficiënt verloopt, zal het deel uitmaken van de Gegevensbeschermingseffectbeoordeling (GBEB). Die beoordeling is verplicht volgens artikel 35 van de GDPR.
Alleen als een bedrijf beslist hoe het problemen van hogerisicofactoren aanpakt, een maatstaf voor het risicoprofiel, moet dat in de beleidsdocumenten opgenomen worden. Naar echte voorbeelden van de GBEB verwijzen, maakt het beleid relevanter en uitvoerbaarder. Een top-downaanpak garandeert ook dat het beleid afgestemd is op gebruikerscommunities met hoog risico en de gerelateerde bedrijfsprocessen.
Aanvankelijk zal de voornaamste focus liggen op:
- hooggevoelige persoonsgegevens die de organisatie in bulk bewaart.
- data die de onderneming bewaart en gebruikt (en/of mogelijk doorverkoopt) waarvan de betrokkenen (bv. de klant) zich niet bewust zijn of waarvoor ze geen akkoord hebben gegeven.
Bedrijven moeten snel bepalen of ze dergelijke data-elementen bewaren en zo ja, of ze de manier waarop ze persoonsgegevens gebruiken, kenbaar willen maken.
Sommige organisaties hebben mogelijk geen data die onder de bovenstaande criteria vallen; voor die bedrijven wijst GDPR-compliance vrijwel zichzelf uit.
Sancties zijn mogelijk strenger als een bedrijf geen procedures implementeert om de burgerrechten te garanderen, zoals het recht om vergeten te worden (waardoor burgers bij bedrijven kunnen vragen om hun persoonsgegevens te verwijderen), het recht om data over te dragen (waardoor burgers kunnen vragen om persoonsgegevens van de ene leverancier naar de andere over te dragen) en/of de afwezigheid van de juiste instemming. Daardoor kunnen de boetes bij een onderzoek aanzienlijk oplopen, zelfs als er geen dataverlies is. Bijvoorbeeld bij datamisbruik, nadat een EU-burger vroeg om vergeten te worden, maar zijn naam nog op een mailinglijst staat die manueel onderhouden wordt door iemand in de organisatie.
Andere overwegingen
We raden organisaties aan om rekening te houden met de volgende punten wanneer ze hun GDPR-complianceprogramma ontwikkelen:
- De GDPR kan digitale transformatieprogramma’s verstoren. De GDPR-vereisten kunnen een aanzienlijke impact hebben op de geplande digitale projecten van een organisatie. Bijvoorbeeld als die organisatie geen instemming wil vragen aan EU-burgers om hun data te gebruiken om er waarde mee te creëren en/of als klanten niet massaal hun instemming geven. Organisaties die data van historische klanten gebruiken – die waarschijnlijk geen toestemming hebben geven – of geen directe relatie met een klant hebben, krijgen het dus mogelijk bijzonder moeilijk.
Zij spenderen mogelijk aanzienlijke middelen aan digitale transformatieprogramma’s om dan vast te stellen dat ze er door de beperkingen van de GDPR niet de verwachte waarde kunnen uithalen. Bij het uitvoeren van de GBEB moeten organisaties dus niet alleen rekening houden met de huidige, maar ook met de toekomstige activiteiten in het kader van digitaliseringsprojecten.
- Dataverwerkers kunnen zich niet langer achter verwerkingsverantwoordelijke verschuilen. Volgens de wetgeving conform de EU-richtlijn gegevensbescherming is bij acties van een Data Protection Authority-commissaris tegen een organisatie de verwerkingsverantwoordelijke aansprakelijk. Afhankelijk van contractuele bepalingen, kan de verwerkingsverantwoordelijke dit risico volledig of gedeeltelijk aan de dataverwerker overdragen. Toch maken vertrouwelijkheidsovereenkomsten het vaak moeilijk voor de verwerkingsverantwoordelijke om een derde partij openlijk te noemen en te beschuldigen.
Volgens de GDPR kan de DPA rechtstreeks boetes opleggen aan de dataverwerker. Dat zou aanzienlijke implicaties kunnen teweegbrengen voor organisaties die gevoelige persoonsgegevens voor derden verwerken. Organisaties zullen dus zowel moeten focussen op prioritaire data die ze voor anderen beheren, als op data die ze bezitten.
Een andere belangrijk aspect van de nieuwe wetgeving: de verwerkingsverantwoordelijke staat niet in voor de rapportering van datamisbruik. Als een verwerkingsverantwoordelijke informatie achterhoudt, kan de Data Protection Authority dat meteen merken. Door de strikte rapporteringstermijnen in de nieuwe wetgeving zullen organisaties snel moeten beslissen. Daarom vinden we dat de DPO een seniormedewerker moet zijn.
Onmiddellijke acties
Alle organisaties die aan de GDPR moeten voldoen, zouden meteen de volgende stappen moeten nemen:
- De DPO aanstellen: de DPO-functie vul je best snel in zodat het GDPR-complianceprogramma het nodige leiderschap heeft om succesvol te zijn. Bedrijven zouden de aangestelde DPO ook ruim de tijd moeten geven om de impact van veranderingen in te schatten en veranderingen door te voeren.
- Een top-downanalyse uitvoeren: een goede basis voor een GDPR-complianceprogramma is een snelle top-downanalyse om de uiterst privacy- en/of risicogevoelige items te identificeren. Daardoor ziet de DPO ook snel in welke problemen de GDPR voor het bedrijf blootlegt en kan hij snel met seniorleidinggevenden samenzitten om een compliancestrategie te bepalen.
- De GBEB uitvoeren: de organisatie moet een top-downanalyse uitvoeren en de resultaten in een formele GBEB gieten die aan de GDPR-vereisten (artikel 35) voldoet. Deze allesomvattende analyse vormt de basis van formele planning.
- Prioriteit van acties bepalen: Het bedrijf moet een allesomvattend actieplan opstellen om alle potentiële risicofactoren van de GBEB te dekken. Hoewel je een compleet actieplan niet kan bepalen voor de GBEB compleet is, pakt een bedrijf hogerisicofactoren uit de aanvankelijke top-downanalyse best meteen aan.
- Plan verbeteringen: Bedrijven moeten een gedetailleerd projectplan opstellen, met duidelijk omschreven functies en verantwoordelijkheden, ondersteund door een geschikt middelenplan. Ze moeten ook een analyse van kritieke afhankelijkheden maken. Organisaties mogen het belang van training, bewustwording en changemanagement met betrekking tot dit plan niet onderschatten.
- Herbekijk de GBEB: GDPR-compliance is een blijvende noodzaak – geen eenmalig project. Het is belangrijk dat de organisatie een proces opstelt om de GBEB regelmatig te herbekijken en vebeteringsplannen waar nodig te herzien.
Deze blog werd geschreven door Protiviti en werd eerder gepubliceerd op protiviti.com.
Over Protiviti
Protiviti werkt momenteel met organisaties over de hele wereld zodat die de impact van de GDPR op hun bedrijf kunnen inschatten en succesvolle complianceprogramma’s kunnen opstellen die hun risicoprofiel reflecteren. We erkennen dat er geen uniforme aanpak voor GDPR-compliance is en dat elk bedrijf anders is. Samen met organisaties voeren we een top-downanalyse van hun bedrijfsmodellen uit om de voornaamste risicofactoren te identificeren. Daarnaast helpen we managementteams om de GDPR-compliancestrategieën te bepalen. Zo kunnen zij de impact op toekomstige bedrijfsplannen beperken, ook bij hun digitale transformatie. Protiviti is een globale onderneming voor bedrijfsconsulting en interne audits. Onze experts zijn gespecialiseerd in risico, consultancy en transacties. We helpen bij problemen in financiën en transacties, operaties, technologie, geschillen, governance, risico en compliance. Onze hoogopgeleide, resultaatgerichte professionals bieden een unieke kijk op een breed scala van kritieke bedrijfsproblemen voor klanten in Noord- en Zuid-Amerika, Azië-Pacific, Europa en het Midden-Oosten.