De Algemene Verordening Gegevensbescherming, die het daglicht zag in de lente van vorig jaar, is van toepassing vanaf 25 mei 2018. Dit betekent dat ondernemingen en organisaties van alle vormen en omvangen over nog ongeveer 14 maanden beschikken om zich voor te bereiden op de naleving van een nieuwe reeks regels inzake gegevensbescherming. Deze voorbereiding is echter gemakkelijker gezegd dan gedaan.
1. Aantoonbare compliance: de AVG moet niet alleen worden nageleefd, het moet ook zichtbaar zijn dat ze werd nageleefd
De AVG legt sterker de nadruk op effectieve dag op dag naleving van gegevensbeschermingsverplichtingen dan haar voorganger, die alles meer administratief maar wel minder afdwingbaar en minder praktisch hield.
Dit wordt bewezen door het feit dat de AVG niet alleen strikte naleving van de regels eist via hoge boetes, maar deze eisen schraagt door te eisen dat de naleving van de regels aantoonbaar is. Met andere woorden: de regels inzake gegevensbescherming moeten niet alleen worden nageleefd, het moet ook zichtbaar zijn dat ze werden nageleefd.
2. AVG-compliance is niet alleen het probleem van de IT-afdeling
Soms bestaat de perceptie dat de AVG uitsluitend betrekking heeft op verwerking van persoonsgegevens via hardware- en softwaretoepassingen, en dus dat de naleving van de AVG een probleem voor de IT-afdeling is.
Het valt niet te ontkennen dat de IT-afdeling van uw onderneming of organisatie een belangrijke rol speelt, maar het zou een grote fout zijn om te denken dat dat de enige relevante afdeling is. De AVG heeft betrekking op meer dan de IT-systemen en -toepassingen van een onderneming of organisatie en heeft ook betrekking op de administratieve procedures, operationele praktijken en ondersteunende documentatie.
Dit betekent in wezen dat naleving van de AVG een bezorgdheid is van de gehele onderneming of organisatie, en de reis naar de naleving ervan moet worden geleid door een hoger kaderlid.
3. Er is altijd ‘legacy’: men vertrekt altijd vanuit een bestaande situatie
Indien u een bestaande onderneming of organisatie bent, verwerkt u reeds een tijdje persoonsgegevens, misschien zelfs al sinds jaren. U hebt de processen en procedures zo goed mogelijk georganiseerd om uw bedrijfsactiviteiten aan te sturen, met behulp van de meest geschikte informatieverwerkingssystemen voor deze doelstelling. Persoonsgegevens passeerden via deze systemen als een noodzakelijke informatiebron.
Nu komt deze nieuwe brok wetgeving en moet u deze processen, procedures en systemen opnieuw evalueren in het licht van zeer gedetailleerde (en soms zeer omslachtige) regels en verplichtingen.
Bovendien geeft de AVG geen vrijstelling voor verwerkingsactiviteiten omdat zij slechts bijkomend of toevallig zijn. In tegendeel, de AVG heeft een zeer omvattende en gedetailleerde benadering.
Dat alles kan ervoor zorgen dat de taak om in overeenstemming te zijn met de AVG u bijna onoverkomelijk lijkt. Als u echter een goed begrip hebt van wat wordt vereist en als u vertrouwt op een op maat gesneden stap voor stap benadering die gedekt is door een geteste methodologie, kan iedereen tijdig, kostenefficiënt en pragmatisch aan de AVG voldoen. Daarvoor is echter een goed begrip van de actuele praktijken vereist en moet een onderscheid worden gemaakt tussen wat van hoge prioriteit is, en wat tijdelijk kan worden geparkeerd.
4. Prioriteiten stellen is essentieel
Het belang van het stellen van prioriteiten tussen gegevensverwerking, problemen, hiaten, risico's, maar ook mogelijke nalevingsmaatregelen, mag niet onderschat worden. Voor de meeste bedrijven en organisaties is het niet mogelijk om alles in één keer aan te pakken, en dat moeten zij ook niet willen.
Controle van de naleving van de AVG is niet het enige waar u mee bezig bent, onnodig om al uw energie alleen maar daaraan spenderen. Het is eveneens nodig om grondig te werk te gaan, en alles in één keer doen zal u alleen maar dwingen een kortere weg te gebruiken waar dat niet zou moeten en zult u elementen missen die u niet mag missen.
5. Stap voor stap, weet wat de volgende stap is
Een nalevingsoperatie begint noodzakelijkerwijze ermee te bepalen waar u nu staat. U moet op één of andere manier een momentopname van de huidige status quo maken. Maar zelfs ondernemingen en organisaties die B2B werken, minder gegevens gestuurd zijn, en betrokken zijn bij bijvoorbeeld fabricage, assemblage, distributie etc., zullen op een grotere schaal persoonsgegevens verwerken dan men in eerste instantie zou kunnen veronderstellen.
Er bestaan altijd “verborgen” activiteiten van verwerking van de persoonsgegevens, activiteiten die nodig zijn op grond van een product, of misschien zeer onpersoonlijke bedrijfsactiviteiten. Deze activiteiten beginnen bloot te leggen is een noodzakelijk bestanddeel van het maken van deze momentopname, maar het kan ook als resultaat hebben dat het perspectief en het overzicht snel verloren gaan.
Dit onderstreept nogmaals de behoefte aan het bepalen van prioriteiten, maar eveneens de behoefte om een plan te hebben, een routekaart naar de naleving, gekoppeld aan een haalbare maar ambitieuze tijdlijn.
6. Bestrijk de hele groep
Vele bedrijven en organisaties bestaan uit meer dan één entiteit, waarvan sommige in verschillende rechtsgebieden gelegen kunnen zijn. Het is tussen entiteiten niet onvoorstelbaar dat bepaalde IT-systemen gedeeld worden, bijvoorbeeld gemeenschappelijke ERP-software suite of specifieke data warehouses.
Het is ook mogelijk dat verschillende entiteiten verschillende taken verrichten binnen één enkel bedrijfsproces. Een entiteit ontvangt gegevens van een andere entiteit, verwerkt en wijzigt ze eventueel of voegt er zaken aan toe en stuurt ze door naar de volgende entiteit.
Al deze gegevensstromen kunnen persoonsgegevens bevatten, wat noodzakelijkerwijze betekent dat een allesomvattende controle van de naleving van de AVG de gehele groep zou moeten omvatten, en niet uitsluitend de hoofdvestiging. De verwerkingspraktijken en -systemen kunnen inderdaad significant verschillen van entiteit tot entiteit, dus zullen problemen inzake naleving en mogelijke oplossingen eveneens verschillen.
De noodzaak om de gehele groep te bestrijken betekent niet dat u alles in een keer moet doen. Aangezien bepaalde beslissingen waarschijnlijk zullen worden genomen door de moedermaatschappij en dan worden overgemaakt aan de dochterondernemingen, lijkt het logisch om uw inspanningen te beginnen bij de moedermaatschappij en dan naar beneden te werken.
Op het einde zou u een momentopname van de gehele groep moeten hebben, waardoor u in zekere mate de inspanningen kunt centraliseren en coördineren, niet alleen tot mei 2018, maar ook daarna.
7. Laat u bijstaan waar nodig
Zoals hoger aangetoond, is voor de uitvoering van een grondige en toch kosteneffectieve controle van de naleving van de AVG gespecialiseerde kennis en expertise vereist. Mogelijks heeft uw IT afdeling externe hulp nodig. Maar het is eveneens aanbevelenswaardig u op juridisch vlak te laten bijstaan.
En als u er tijdig aan begint en pragmatisch tewerk gaat, bestaat de kans dat wat onoverkomelijk leek, toch nog best meevalt.