Multi­disciplinaire aanpak GDPR

Voldoen aan de GDPR betekent een multi­disciplinaire aanpak vanuit alle facetten van een organisatie. Maar veel bedrijven zijn nog helemaal niet klaar om vraagstukken op een organisatorisch efficiënte manier aan te pakken. Jan Maarten Willems pleit voor een pragmatische aanpak met een platform waarin verschillende partijen binnen de organisatie met elkaar kunnen samenwerken.

Op zich kan ik me vinden in de stelling die gedeponeerd werd in de blog van Ruud Alaerds op agconnect.nl, met name dat de GDPR niet mag leiden tot angstreflexen bij bedrijven. En toch zien we dat veel bedrijven krampachtig met de GDPR aan de slag gaan. Toch bijzonder als we weten dat de GDPR niet de eerste wet rond de bescherming van persoonsgegevens is. Zo komen de basisbeginselen uit de privacywetgeving van 1995 (Richtlijn 95/46/EG) ook terug in de GDPR (Verordening (EU) 2016/679). Waar knelt dan het schoentje?

GDPR-compliance gaat verder dan een ‘check in the box’-benadering. Het moet zo ingezet worden dat de bedrijfsdoel­stellingen kunnen worden behaald. De GDPR behandelt één specifieke set van data, namelijk persoonsgegevens. Daarnaast krijgt een bedrijf te maken met nog andere soorten data, zoals productdata en financiële data. Een weloverwogen informatiestrategie is een noodzakelijke voorwaarde om belangrijke projecten, zoals een digitale transformatie of een verbetering van de ‘customer intimacy’, te realiseren. Het goede aan de komst van de GDPR is dat het veel bedrijven een duwtje in de rug geeft om een betere data governance na te streven. Bedrijven die GDPR-compliance enkel zien als het afvinken van een aantal regulatory requirements, slaan de bal mis. Het gaat immers veel verder dan de ‘check in the box’-benadering die je weleens ziet als de bescherming van data vanuit juridische verplichtingen wordt geregeld. De essentie is het optimaliseren van je informatiestromen om zodoende op een duurzame manier compliant te blijven en meerwaarde te creëren in de toekomst. Een bedrijf dat ‘customer centricity’ en ‘transparency’ claimt, moet dit ook waarmaken in de praktijk. Een goed beheer van persoonsgegevens en volledige transparantie in het gebruik zijn hierbij cruciaal. Zo kan een bedrijf zijn GDPR-compliance uitspelen als een belangrijke business value en wordt het plots een doorslaggevend verkoopsargument.

Multidisciplinaire aanpak
Bij het implementeren van de GDPR is een multidisciplinaire aanpak vanuit alle bedrijfsfacetten noodzakelijk. Niet alleen legal en IT, maar ook sales, marketing, HR en alle andere departementen dienen hierbij betrokken te worden. Zo draagt de uiteindelijke oplossing bij tot het behalen van de businessresultaten. 

En hier knelt het schoentje dus. Veel bedrijven zijn immers nog niet klaar om zulke vraagstukken op een organisatorisch efficiënte manier aan te pakken. En de angst waarvan sprake is, komt voort uit de onzekerheid die deze vraagstukken met zich meebrengen. Dit is echter veel ruimer dan de GDPR alleen, maar hier is juist de weg om GDPR-compliant te worden (gegeven ook de zeer stikte deadlines) wel een heel concreet geval van waar veel bedrijven mee worstelen en hoe dit aan te pakken. Veel bedrijven reageren krampachtig en de betrokken departementen steken hun hoofd in het zand voor de veranderingen die de nieuwe manier van werken met zich meebrengt (lees ook: ‘Lichtheid waarmee vakbonden protesteren is ondraaglijk’). Hierdoor wordt de druk op de verantwoordelijken voor het invoeren van deze veranderingen (i.c. Chinese vrijwilligers) bijzonder hoog.

GDPR-compliancy vereist immers meer dan een intern beleid of training om ervoor te zorgen dat werk­nemers persoonsgegevens bewust gebruiken. GDPR-conformiteit betekent dat alle IT-systemen en -providers moeten worden gecontroleerd en indien nodig worden gewijzigd. 

In mei 2018 wordt naleving van de GDPR verplicht. Tegen die tijd moeten we de vooropgestelde doelen bereiken, waaronder: 

- Elke gegevensverwerking dient verantwoord te gebeuren.
- De ‘consent forms’ dienen bijgewerkt te worden.
- De opt-inmechanismen dienen herzien te worden
- De rechten van de betrokkenen dienen gerespecteerd te worden in de bedrijfsprocessen en toepassingen.

Platformen binnen afdelingen verbinden
Maar een van de belangrijkste vereisten vanuit de GDPR is de plicht tot het documenteren, en dat is een teaminspanning. De beste manier om dit te bereiken, is het opzetten van een platform waarbinnen verschillende afdelingen kunnen samenwerken:

- Juridische afdelingen kunnen richtlijnen geven, contracten wijzigen, enz.
- HR-afdelingen kunnen training van werknemers faciliteren (en, uiteraard, werknemersgegevens beschermen).
- Risicoafdelingen dienen de beoordeling en bewaking te doen van het risico bij nieuwe, technische implementaties.
- Elke bedrijfsafdeling dient haar proce­dures te controleren en na te gaan welke gegevens worden gebruikt en waar.
- Enterprisearchitecten kunnen een aanzet geven (indien nog niet voor­handen) met betrekking tot metadata en masterdatamanagement.

Naast het faciliteren van gegevensinvoer en samenwerking, kan een dergelijk samenwerkingsplatform rapporten bieden voor voortgang en naleving, zoals over hoeveel gegevensverwerkingsactiviteiten al wordt geïdentificeerd, welke van de gegevensoverdrachten correct worden geïdentificeerd en of het contract up-to-date is.

Geen noodzaak
Aangezien de controle en eventuele penalisatie bij vorige wetgevingen achterbleef, voelden veel bedrijven niet de noodzaak om compliant te zijn. Deze bedrijven moeten nu van ver komen om hun achterstand in te halen. Heel wat ondernemingen zullen tegen de gestelde deadline (25 mei 2018) dan ook niet volledig in regel zijn met de GDPR. Wat ik bedrijven wil meegeven en wil benadrukken: verspil niet te veel tijd met erover te praten, maar pak het pragmatisch aan en zet de nodige stappen zoals duidelijk bepaald in het verantwoordingsbeginsel (accountability) van de GDPR, maar vooral: breek een lans voor echt multi­disciplinair werken en gebruik de GDPR als een use case hiervoor. Dit zal niet altijd zonder slag of stoot verlopen, maar komt finaal u als bedrijf ten goede alsook de betrokkenen (klanten, leveranciers, personeelsleden, etc.) van wie u als bedrijf de persoons­gegevens verwerkt.

Jan Maarten Willems is managing partner en certified DPO bij Inpuls CVBA. Jan Maarten heeft uitgebreide ervaring als consultant en managing partner. Als CFO van Massive Media (het socialemediabedrijf achter de succesvolle digitale merken Netlog.com en Twoo.com, nu in handen van InterActiveCorp Group (IACI), met hoofdzetel in New York) was hij verantwoordelijk voor alle financiële, administratieve en juridische aangelegen­heden. Als DPO avant la lettre zag hij daar onder andere toe dat de dataprotectievereisten voor 100 miljoen leden wereldwijd gerespecteerd werden.

Tag

AVG

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag