De Algemene Verordening Gegevensbescherming (AVG), de Californische Wet op de Klantprivacy (CCPA), de Wet op de Bescherming van Persoonslijke Informatie (APPI) en de Wet op de Bescherming van Persoonsgegevens (PDPA) zijn slechts een kleine fractie van de wetgeving inzake gegevensbescherming uit de hele wereld. Indien uw organisatie in een bepaald land is gevestigd en uw markt puur binnenlands is, hoeft u zich toch maar zorgen te maken over één regelgeving? Fout! Alleen al de VS hebben meer dan een dozijn verschillende wetten en dit aantal stijgt aanzienlijk en zeer snel, naarmate meer staten beseffen dat er op hun grondgebieden een gegevensprivacywet nodig is. Andere landen zijn normaliter onderworpen aan een nationale wet en alle die op hen van toepassing zijn, zoals in het geval van elk EU-land waar de AVG universeel van toepassing is. Dus, wat als uw markt niet binnenlands is (wat onwaarschijnlijk is in 2020)? Hoe zorgt u ervoor dat u aan de regels voldoet?
Fase 1: Stel een nalevingsmatrix op
De eerste stap die elk nalevingsteam moet nemen, is het opstellen van een lijst van alle regio's waar u zich met uw producten of diensten op richt. In het geval van de VS moet u aangeven of het voor een bepaalde staat of landelijk geldt. Als u dit doet, zorg er dan voor dat u op de langere termijn denkt en niet alleen aan vandaag, dus neem ook opkomende markten mee waarvan u denkt dat u erin zou willen doorbreken. Nu u zich goed bewust bent van waar u verkoopt, kunt u beginnen met het opstellen van een matrix van die landen en de wettelijke en regelgevende kaders waaraan u zich moet houden. Nogmaals, in het geval van de VS moet u een lijst maken van de wetten die van toepassing zijn op de staten waarin u handelt, bijvoorbeeld de CCPA voor Californië, de Wet op de Bescherming van Klantinformatie voor Oregon, Normen voor de Bescherming van Persoonlijke Informatie van Inwoners van de Gemenebest voor Massachusetts enzovoort.
Fase 2: Breid uw matrix uit om alle zakelijke activiteiten op te nemen & uw huidige processen te beoordelen
Op dit punt weet u waar u handelt en welke wetten op u van toepassing zijn. U bevindt zich nu in een goede positie, maar er is meer. U moet uw matrix uitbreiden om te bepalen hoe deze regels op uw bedrijf van toepassing zijn. Hierdoor ziet uw organisatie in één oogopslag wat de verplichting is en hoe deze wordt aangepakt of beperkt. Door deze oefening te doen, ontdekt u misschien dat u zaken doet in een land met specifieke gegevenslokalisatiewetten waarvan u op de hoogte moet zijn. Er is een toenemend aantal landen waar dit gebeurt. Momenteel bestaat de top drie uit China, Rusland en Vietnam. Als u zaken doet in deze regio's, zijn er nog meer verplichtingen om rekening mee te houden. U zult heel snel zien hoe de matrix onmisbaar wordt.
Zodra de matrix compleet is, moet er een beoordeling worden uitgevoerd. U moet vragen stellen zoals:
- Houden uw huidige processen rekening met deze vereisten? Als u internationaal zaken doet, zult u vrijwel zeker een CRM-systeem gebruiken, dus zullen daar vragen over zijn.
- Heeft u de toegang beperkt op basis van afwijkingen?
- Als er lokale wetten zijn die export buiten het grondgebied verbieden (bijv. Rusland), heeft u daar dan een CRM-organisatie geplaatst en de gegevensstromen voor regio-specifieke informatie aangepast?
Fase 3: Implementeer procedures voor nieuwe gegevens/ informatiebeveiliging & leid uw werknemers op
Nu u weet wat er moet gebeuren, begint de wat moeilijkere fase om het daadwerkelijk te implementeren. Hoe complex deze taak is hangt sterk af van de hoeveelheid gegevens die u heeft, in hoeveel landen u aanwezig bent, hoe diepgeworteld de huidige systemen en processen zijn, enz., maar ik zou zeggen dat dit deel van het project enige tijd in beslag gaat nemen. Om de efficiëntie te maximaliseren moet u de tijd verstandig gebruiken en de rest van uw organisatie in deze vereisten opleiden. Verkopers zullen bijvoorbeeld sterk gefocust zijn op het verkopen van het juiste product of de juiste dienst aan de juiste klant voor de juiste gebruikssituaties en daarom zal een obscuur voorbehoud dat in een buitenlands juridisch document is begraven niet voorop staan in hun bewustzijn. Stem de trainingen af per afdeling of type functie en neem voorbeelden op waar ze aan kunnen refereren. Hoe deze dingen het dagelijkse leven van die verkoper beïnvloeden zal bijvoorbeeld verschillen van dat van een financieel medewerker.
Na de voltooiing van dit alles zal het volwassenheidsniveau van uw programma hoog zijn en zal uw bedrijf in een machtspositie verkeren. U kunt uw naleving, bewustzijn, trainingsschema's en processen als een belangrijke onderscheidende factor in commerciële discussies gebruiken en uzelf een aanzienlijk voordeel geven ten opzichte van uw buurman op een zeer concurrerende markt.
Naleving is natuurlijk geen eenmalige inspanning. Het gaat niet alleen om het traject van de vaststelling, maar ook van het behoud. Uw bedrijf moet werken aan het handhaven van normen, beleidslijnen en strategieën om de onderscheiding te behouden. Uw juridische en/of nalevingsteam(s) moeten op de hoogte blijven van de veranderende wetten in de regio's die in uw matrix zijn gedefinieerd. Deze hebben invloed op de manier waarop u zaken doet in die geografische gebieden en daarvoor kunnen wijzigingen in uw technische en organisatorische controles nodig zijn.
Er is de afgelopen decennia veel veranderd en zowel het risicolandschap als het bereik van de zakelijke activiteiten zijn exponentieel toegenomen. Het nemen van de hier beschreven stappen biedt een routekaart om op de hoogte te blijven van en bij te blijven met de naleving.