-

GDPR: Nederlandse bedrijven denken zelf goed op schema te liggen

Nederlandse bedrijven denken redelijk op schema te liggen met de voorbereidingen voor de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een rondgang onder leden van de DDMA. De wetgeving die vanaf mei volgend jaar in werking treedt heeft grote impact op de bedrijven en hun dataverwerking.

Uit internationale onderzoeken blijkt nogal eens dat bedrijven het lastig vinden concrete stappen te zetten. In Nederland zijn de bedrijven positiever. Een flink aantal denkt keurig op schema te liggen, zo blijkt uit een onderzoek van de DDMA onder 75 van de leden. “Er wordt met name gepraat en gepland”, zegt Matthias de Bruyne – Legal Counsel bij de brancheorganisatie. “Maar ongeveer een derde zegt wel goed op schema te liggen. Dat ruim de helft nog moet beginnen, valt me niet tegen. Er blijkt nog veel werk te doen, maar het onderwerp staat dus op de agenda.”

Helft nog bezig met plannen

Bedrijven barsten vaak van de data, gegevens waarvoor vanaf volgend jaar nieuwe regels gelden. Vanaf mei volgend jaar gaat namelijk de nieuwe Europese wet voor databescherming in werking. In geen organisatie mogen zaken als de gegevensverwerking, ‘het recht vergeten te worden’, dataportabiliteit en de meldplicht datalekken dan nog geheimen kennen. Met de inwerkingtreding van GDPR worden bedrijven er nog maar eens op gewezen dat ze klantdata op een transparante manier moeten verzamelen en opslaan. Intern, maar ook bij de partijen die ze in de arm nemen. Het belang van dit laatste werd recent nog maar eens onderstreept toen hotelreserveringssysteem Sabre de persoons- en betalingsgegevens lekte van diverse grote hotelketens.

Dat GDPR een belangrijk onderwerp is voor bedrijven staat volgens kenners wel vast. De GDPR bestaat namelijk uit een groot aantal veranderingen – onder meer uitvoerig beschreven in een rapport van Bird & Bird en overzichtelijk opgesomd in dit stuk van de DDMA op Emerce.

De Nederlanders die DDMA’s enquête invulden zeggen in ieder geval goed te begrijpen wat er verandert en welke gevolgen dit heeft voor hun werk en onderneming. Iets meer dan de helft noemt het eigen kennisniveau gemiddeld, 41 procent zegt goed op de hoogte te zijn. Die beoordeling komt terug in hoe men denkt over de interne status. Bijna de helft (47 procent) zegt bezig te zijn met plannen, 36 procent ligt naar eigen zeggen keurig op schema. Een kleine zeven procent zegt nog achter de feiten aan te rennen, een zelfde aantal heeft nog helemaal geen plan.

Gevraagd naar de belangrijkste aandachtspunten wordt ‘gegevens uit oude systemen (legacy data)’ het vaakst genoemd. Als acties staan vooral het opstellen van een privacy impact assessment voor marketingcampagnes, updaten van het privacybeleid en de administratieplicht nog op de agenda.

 

Interne huishouding en processen

Hoewel de wet nu al voorschrijft dat consumenten het recht recht hebben op inzage in de opgeslagen data, worden daar twee impactvolle elementen aan toegevoegd. De klant kan vragen welke gegevens er zijn bewaard en waar die data zich bevinden. Of de data nu in een CMS zitten, reserveringssysteem of klantdatabase, de klant heeft het recht te weten hoe lang de gegevens zich daar al bevinden, welke informatie er wordt bewaard en met welk doel.

Maar behalve dat bedrijven inzage moeten bieden, wordt ze nu verplicht te voorzien in ‘het recht om vergeten te worden’. Daarnaast geldt dat bedrijven maatregelen moeten treffen voor de dataportabiliteit. Wil een gebruiker van een huizenverhuursite alle informatie en foto’s van zijn vakantiehuis naar een concurrent verplaatsen dan moet het daarbij ‘helpen’. Data moeten in een voor machines leesbare opmaak zijn te exporteren.

Behalve de interne huishouding moeten ook veel processen tussen partnerbedrijven worden herzien. Worden data gedeeld met een data processor (die zorgt voor de verwerking) dan geldt al het bovenstaande ook voor die gegevens.

Iets minder ingrijpend, zijn de algemene plichten die bedrijven krijgen. Bedrijven die data als core business hebben moeten een Data Protection Officer (DPO) aanwijzen als interne toezichthouder. Ook worden er iets strengere eisen gesteld aan de registratie van datalekken. Die moeten allemaal worden gedocumenteerd. Wat de DPO betreft luidt het advies deze onafhankelijk te laten werken. Die persoon zou vooral de ruimte moeten krijgen om interne processen en gebruikte technieken te monitoren en beïnvloeden.

‘Dataveiligheid is een filosofie, niet een vakje dat je snel moet afvinken’, zei William Beckler, de voormalige CTO van LastMinute.com recent nog. Van zijn eigen branche, de reiswereld, zei hij bijvoorbeeld dat de industrie precies op het juiste moment wordt geconfronteerd met de nieuwe regels. Met name omdat veel bedrijven nu zoveel data hebben dat ze een interessant doelwit voor hackers zijn.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond