Redactie - 24 april 2018

GDPR: silver bullet bestaat niet, hefboom wel

GDPR: silver bullet bestaat niet, hefboom wel image

De Europese privacywetgeving GDPR, ook wel AVG genaamd, stelt Nederlandse organisaties voor grote problemen. Vorig jaar kwam al in het nieuws dat veel bedrijven en instellingen niet eens van de GDPR gehoord hadden, terwijl begin dit jaar een steekproef onder 31 grote Nederlandse bedrijven met meer dan 40.000 medewerkers, leerde dat driekwart daarvan niet op tijd klaar zal zijn met de voorbereidingen. Of dit een kleine verbetering is ten opzichte van afgelopen november, toen Nieuwsuur berichtte dat 80 procent van de organisaties nog niet klaar was, laat ik maar in het midden.

Op 25 mei aanstaande is de nieuwe wetgeving van kracht. Tijd dus om een sprint in te zetten, voor organisaties die niet het risico op imagoschade of een hoge boete willen lopen. Een positievere kijk op de zaak is dat maatregelen om aan de regels van de GDPR te voldoen, maken dat een bedrijf het procesbeheer en het datamanagement beter op orde heeft. Waarom daarmee wachten?

Compliant worden met de GDPR is geen geringe opgave. Het is zaak om vooral niet te denken dat aan de GDPR voldaan kan worden met eenzijdige maatregelen of geringe ingrepen. Misschien is dat wel de reden dat hier de nodige misverstanden over in omloop zijn. Of is er soms sprake van moedwil? De analisten van Bloor Research wijdden er in elk geval een publicatie aan, waarin ze deze verkeerde ideeën aanduiden als ‘anti-patterns’.

Het eerste voorbeeld is het idee – moedwil of misverstand - dat er een silver bullet voor de GDPR is, een of ander security tool dat alles oplost. Het is algemeen bekend dat de meeste data breaches ontstaan door menselijke fouten of opzet. Een voorbeeld daarvan is de recente privacyschending rondom de ziekenhuisopname van een bekende Nederlander, waarmee nog maar eens bewezen is dat nieuwsgierigheid het vaak wint van procedures. Nog een tool erbij gaat het probleem dus niet oplossen!

En zo is het ook geen oplossing om GDPR compliancy tot een IT-probleem te benoemen of er consultants voor in te vliegen. Een bekende uitdrukking luidt niet voor niets: ‘Je kunt alles uitbesteden, maar niet je verantwoordelijkheid.’ In de praktijk is tenminste samenwerking tussen compliance officers, juristen en IT-verantwoordelijken nodig om GDPR-inspanningen tot een goed einde te brengen.

Ligt de oplossing van de GDPR-puzzel dan in datamanagement? Dus het vragen van toestemming om persoonsgegevens op te slaan, het indien nodig wissen ervan, het bewaken van de toegang tot die gegevens en het op de juiste manier bewaren? Dit is zeker niet onbelangrijk, maar het is slechts een deel van de oplossing. Ruim de helft van de artikelen van de GDPR heeft namelijk betrekking op iets anders, namelijk bedrijfsprocessen.

Voldoen aan de regels van de GDPR gaat vooral om beleid, om administratie, om verantwoordelijkheden van rollen en entiteiten. Kortom, om governance en goed procesmanagement. De organisatie zal anders moeten gaan werken.
Bedrijfsprocessen zijn de sleutel tot de manier waarop de organisatie werkt. Data zijn belangrijk, zeker, maar ook datastromen worden bepaald door bedrijfsprocessen. Procedures en controles op het vlak van datamanagement dienen ingebouwd te zijn in de bedrijfsprocessen. Dat is de enige manier waarop data betrouwbaar kunnen zijn, vertrouwelijk en beschikbaar wanneer nodig.

Bedrijfsprocessen aanpassen, de organisatie anders laten werken… Onbegonnen werk? Er zijn organisaties die denken dat alle regels van de GDPR in elke situatie van toepassing zijn. Gelukkig is dat niet het geval en is de werkelijkheid genuanceerder.
Maar toegegeven, het kan een uitdaging zijn om alles op 25 mei rond te hebben. Toch is het mogelijk meters te maken. Veel organisaties werken immers al met platforms voor proces- en workflowmanagement. Die anders configureren helpt al enorm om bedrijfsprocessen aan te passen en medewerkers anders te laten werken. Daarmee bedoel ik niet te zeggen dat werken aan bewustwording of datamanagement niet van belang is, integendeel. Ook roep ik niet dat technologie alles oplost, of dat er een silver bullet bestaat. Maar een hefboom is er wel degelijk – en dat is met 25 mei in het achterhoofd een prettige gedachte.

Door: Maarten le Noble, managing director van TESM Nederland. TESM is een dienstverlener voor oplossingen, processen en technologieën op basis van het ServiceNow-platform

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!