De dag des oordeels is aangebroken en we hebben het overleefd. Managers overal hebben ongetwijfeld allemaal een zucht van opluchting geslaakt, maar als u deel uitmaakt van een conformiteits-, marketing- of gegevensbeveiligingsteam, weet u dat uw werk nog maar net begonnen is.
Sommige dagen voelde het alsof ik in een nachtmerrie was terechtgekomen en kostte het veel werk om processen te wijzigen, maar nu alles voorbij is, ben ik verbaasd over wat we als team allemaal hebben bereikt in een korte periode. Ik zou niet om een vergelijkbare regelgeving vragen, maar ik ben wel altijd voorstander van de GDPR geweest. Ik maakte deel uit van een positieve verandering waarin ik geloofde en het eindresultaat is iets waar ik trots op ben.
Ik kan me enkel voorstellen hoeveel werk andere organisaties hebben gehad om conform te worden en veel organisaties hebben nog een lange weg te gaan, maar het grootste gedeelte is achter de rug.
Het was een zware klus en daarom sta ik graag even stil bij de lessen die we hebben geleerd bij het conform worden met GDPR. In de opmerkingen hoor ik graag jullie eigen ervaringen en inzichten over de weg naar conformiteit. Laten we ervaringen uitwisselen!
Audits en plannen
Het schrikt misschien af, maar de beste manier om de implementatie te plannen is de verordening te lezen. Ik heb gezocht naar samenvattingen of bullet points (opsommingstekens), maar deze kosten vaak meer tijd omdat u de gaten zelf moet invullen en het altijd afhangt van de persoon die de samenvatting heeft gemaakt.
Uiteindelijk vat u de stier bij de horens en leest u het best de hele tekst van begin tot eind. De GDPR is een complexe verordening en uiteindelijk heb ik de iets 'vagere' stukken meerdere keren moeten lezen.
HR/Resources
Hoewel dit niet strikt wordt opgelegd door de verordening is het enorm belangrijk om een DPO aan te stellen in uw organisatie. Zij vormen niet alleen het centrale aanspreekpunt voor het GDPR-project, maar kunnen door de rest van de organisatie worden beschouwd als een autoriteit op het vlak van data gerelateerde zaken.
Een DPO is verantwoordelijk om de wet in de praktijk om te zetten binnen de organisatie, maar hij/zij heeft een team nodig om de beleidslijnen op praktisch niveau te implementeren. Waar processen moeten worden aangepast, is een uitgebreide kennis van de procedures in alle afdelingen nodig en de DPO heeft die niet. Bij het kiezen van een 'GDPR-tijgerteam' kiest u het best iemand van elke afdeling. Zo kunt u, als de dienstdoende projectmanager, het aantal mensen van wie u informatie nodig heeft tot een minimum beperken.
De klantenervaring vormgeven
De klant (d.w.z. de betrokkene) ligt centraal aan de verordening. Deze is tenslotte opgesteld om hun rechten en vrijheden te verbeteren. Een deel van de gebruikerservaring bestaat uit het duidelijk maken dat ze zelf bepalen wat er met hun gegevens gebeurt. Zij zijn de baas; wij lenen hun gegevens enkel tot ze het terug willen.
Uiteraard zijn er een aantal lokale wettelijke vereisten (zoals financiële regels) en industrieregels (zoals het CA/Browser Forum) die voorrang hebben, en bepaalde soorten gegevensverwerking kunnen we niet vermijden en zijn we verplicht om te voldoen aan onze contractuele verplichtingen. Dat gebeurt echter allemaal in de achtergrond en hier heeft de consument geen boodschap aan. Consumenten willen alleen weten dat ze kunnen bepalen welke communicatie ze ontvangen en dat de gegevens die ze ons bezorgen veilig worden opgeslagen en op wettige wijze worden verwerkt, overeenkomstig met hun wensen.
Beveiliging en privacy
Een van de belangrijkste principes van de nieuwe verordening is privacy-by-design-and-by-default of gegevensbescherming door ontwerp en door standaardinstellingen. Dit betekent dat elk gegevensverwerkende activiteit, elk systeem dat u gebruikt en alle nieuwe dingen die u wilt introduceren, zowel op maat als standaard, de rechten en vrijheden van de betrokkene voorop moeten stellen in de vereisten. Dit is niet langer iets dat u achteraf nog snel kunt toevoegen. We zijn gaan samenzitten met alle afdelingen van het bedrijf en hebben alle processen en tools geanalyseerd om een overzicht te krijgen van waarvan onze gegevens afkomstig waren en waar ze naartoe gingen. We voerden ook risicobeoordelingen en beoordelingen van de impact van gegevensbescherming uit voor deze activiteiten. Dit was een hele nuttige oefening voor het identificeren van gebieden die wijzigingen nodig hadden om te voldoen aan de vereisten.
Communicatie
Niet alleen een belangrijke vereiste, maar ook een goede manier van werken is werknemers opleiden en bewustmaken. Laten we eerlijk zijn, tenzij het uw dagtaak is, kent u de fijne kneepjes van de wet niet en wat deze betekenen voor de organisatie in zijn geheel, laat staan wat uw specifieke rol is.
Dat is waar een gerichte en specifieke training van pas komt. Ik heb dit gedaan door een algemeen overzicht te geven van de principes van gegevensverwerking, de impact van gegevenslekken enz. en daarna per afdeling/rol uitgelegd hoe dit op hen van toepassing is. Echte voorbeelden uit de praktijk geven was belangrijk om de materie beter te begrijpen en de kennis te absorberen. Het is een groot onderwerp, maar vrij saai, en daarom is het belangrijk om training te geven volgens het principe 'weinig-en-vaak' en daarom begin ik elke sessie altijd met een samenvatting van het vorige. Een jaarlijks examen zorgt vaak nog voor een aantal onverwachte vragen.
Technologie
De meeste regelgevingen hebben te maken met processen en procedures, en die ervoor zorgen dat alles correct gedocumenteerd is. Een neveneffect daarvan is een uitstekend veranderingsbeheer, want als een proces of tool wijzigt, verandert ook het desbetreffende document. Natuurlijk, kunnen technologie oplossingen u uiteraard helpen om een aantal van de belangrijkste criteria van IAM (zorgen voor geverifieerde toegangscontrole) tot encryptie (een expliciet voorziene verzachtende factor) te realiseren.
Het is belangrijk te weten dat er geen 'zilveren kogel' bestaat. Conformiteit met GDPR is het samenvloeien van al deze componenten, die werken als één holistische oplossing. Artikelen 28 t/m 30 vergelijken de aansprakelijkheid tussen de beheerder en de verwerker, dus ongeacht hoe u zichzelf heeft gepositioneerd bij uw leveranciers, zakenpartners en andere derden, als ze uw gegevens verliezen bent u ook verantwoordelijk.
Met dat in gedachte, hebben we besloten om een aantal audits uit te voeren bij al onze derden om na te gaan of ze klaar zijn voor GDPR en conform werken, of ze de nodige maatregelen voor informatiebeveiliging hebben genomen en andere bedrijfspraktijken. Als we niet tevreden waren met de reactie, gaven we hen de nodige tijd om corrigerende maatregelen te nemen of anders werd de samenwerking stopgezet. U gaat toch niet uw organisatie in gevaar brengen door de fouten van iemand anders wanneer u preventieve maatregelen kunt nemen?
Constante cycli
GDPR ging van kracht op 25 mei 2018 (en werd twee jaar daarvoor goedgekeurd). Het is een grote vergissing te denken dat u na alle voorbereidingen niets meer hoeft te doen. Integendeel, dit is nog maar het begin.
Nu begint het harde werk. U moet conformiteit blijven garanderen, alles bijhouden waaraan u de afgelopen jaar zo hard heeft gewerkt en, natuurlijk, de productiemanagers tevreden houden. Het heeft geen nut om het best beveiligde, meest conforme bedrijf ter wereld te zijn, als het niet echt werkt.
Het spreekt vanzelf dat uw processen verder blijven ontwikkelen naarmate nieuwe technologie beschikbaar wordt en het is een hele uitdaging om up-to-date te blijven. Als u daar toch in slaagt, zal uw organisatie uitblinken als het bedrijf dat weet waarover het gaat, dat producten en services op een competente manier levert en dat zijn hele reputatie baseert op de mogelijkheid om te beschermen wat het belangrijkst is – de persoonlijke gegevens van iedere werknemer, klant en gebruiker.