We zijn er de voorbije maanden meer dan een beetje mee om de oren geslagen: de General Data Protection Regulation (GDPR). Maar ondanks de vele aandacht voor de term blijkt de interpretatie van de wetgeving toch vaak sterk uiteen te lopen. Hoe is het mogelijk dat een wet, die inmiddels is ingevoerd, toch nog voor zo veel onduidelijkheid zorgt?
Vaak is er binnen een organisatie wel of geen bewustzijn rond privacy. Het lijkt erop dat er geen middenweg bestaat. Wie de voorbije weken en maanden bij bedrijven vroeg of ze al bezig waren met de GDPR, kreeg vooral verwarde blikken terug. Bedrijven hebben de indruk dat er enorm veel regels en maatregelen op hen afkomen. De vele ongenuanceerde berichtgeving rond de GDPR versterkte dat alleen maar. Het gevaar bestaat dat bedrijven daarom dan maar doen alsof de GDPR niet bestaat. Andere organisaties zeggen wel dat ze ermee bezig zijn, maar staan in de praktijk nog nergens.
Wie de medewerkers van een bedrijf bevraagt rond security, krijgt even dikwijls onduidelijke, vage antwoorden. Vaak weten ze niet precies hoe het bedrijf met privacy omgaat. Security is voor zo’n bedrijf een black box. GDPR moeten we echter niet enkel vanuit IT-standpunt bekijken, maar meer als een breder geheel van informatiebeveiliging. Elke medewerker zou hier op zijn minst bekend mee moeten zijn. Omdat de concrete acties die uit de GDPR voortkomen lastig te bepalen zijn voor een bedrijf, moet het zich bewust zijn van de manier waarop het vandaag met privacy omgaat.
Zijn er al beschermingsmaatregelen genomen? Hoe gevoelig zijn de data die het bedrijf verwerkt? Zoals in mijn vorige blog al aangehaald: je gezond verstand gebruiken in combinatie met de gevoeligheid van de gegevens staat gelijk aan proportionaliteit. Van een middelgroot tot groot bedrijf mag je verwachten dat er procedures en rapportages zijn ingericht. Bij een kleine organisatie ligt dat veel minder voor de hand. Vaak is het in zo’n geval dan ook niet nodig om een verwerkingsregister bij te houden.
Verwerkingsregister
Wat is een verwerkingsregister precies? Artikel 30 van de algemene verordening omtrent gegevensbescherming geeft het volgende aan: ‘Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden.’
Maar wat moet er precies in dat register staan? En hebben alle bedrijven inmiddels zo’n register ingevoerd? Een verwerkingsregister kan een eenvoudig elektronisch document zijn in Word of Excel. Vaak bestaat het uit niet meer dan 15 tot 20 kolommen, met daarin onder andere gegevens over de gegevensverantwoordelijke en de gegevensverwerker, de verwerkingsdoeleinden, en een beschrijving van categorieën van de betrokken personen en persoonsgegevens. Zeker ook belangrijk zijn de beoogde termijnen voor het wissen van de gegevens. De organisatie moet het register bijhouden: er moet binnen de organisatie een borging voorzien zijn (de zogenaamde organisatorische maatregelen).
Niet wachten
Indien een bedrijf, na de invoering van de GDPR, dit nog niet in orde heeft gebracht, moet ze er zo snel mogelijk mee starten – om alsnog te voldoen aan de wet. Vlak voor de invoering hebben met name kleinere bedrijven massaal advies ingewonnen om te weten hoe ze compliant kunnen zijn. Maar enkel advies inwinnen is uiteraard niet voldoende. Voor de kleinere bedrijven ligt de lat helemaal niet zo hoog, maar ze moeten natuurlijk wel de moeite doen om de juiste maatregelen te nemen.
Het belangrijkste advies dat ik kan geven is om de systemen en de processen rond de privacybescherming constant te verbeteren. Het is, om het met een IT-term te zeggen, een iteratief proces. Overigens zou een PDCA-cyclus hier ook goed van pas komen: Plan-Do-Check-Act. In ieder geval is een goed plan van aanpak onmisbaar. In dat plan van aanpak dient ten minste te staan welke maatregelen de onderneming zal treffen, of inmiddels al heeft getroffen, om de privacy van alle betrokkenen te beschermen: klanten, medewerkers, leveranciers, enzovoort.
Laaghangend fruit
Begin met de eenvoudigste maatregelen en ga eerst voor het laaghangende fruit. Zijn die inmiddels uitgevoerd, breng dan de grotere projecten in kaart. Tot nog toe was 25 mei 2018 altijd de streefdatum. Na die datum zal de privacycommissie heel kritisch kijken naar de bedrijven. En dan zou het echt wel bijzonder vervelend zijn om een datalek te moeten melden terwijl er nog geen enkele procedure is ingericht…
Auteur: Rutger Saelmans, 22 may 2018