Nog 100 dagen te gaan: 3 stappen naar GDPR-compliant

Het voelt alsof we het al een eeuwigheid over de GDPR hebben. Maar met de deadline nog ver weg was het vooral gepraat en weinig concrete actie.

Met nog maar 100 dagen te gaan voordat de GDPR in werking treedt is het tijd om ervoor te zorgen dat organisaties er echt klaar voor zijn.

De risico’s voor bedrijven die niet klaar zijn voor GDPR worden steeds duidelijker. De Autoriteit Persoonsgegevens heeft aangegeven niet mild te zijn voor organisaties die geen actie ondernemen. Het lijkt misschien alsof er maar weinig bedrijven afwachtend zijn, toch is naar schatting slechts tien procent van de bedrijven echt klaar voor de GDPR. Dit betekent dat veel organisaties problemen kunnen ondervinden op 25 mei en op 26 mei zelfs boetes kunnen verwachten.

Om dit te voorkomen is actie nodig. Een gerichte strategische aanpak om erachter te komen welke gegevens zich in de organisatie bevinden, hoe ze beheerd worden en wie er toegang tot deze data heeft, is de eerste stap op weg naar GDPR-compliance. Om dit te realiseren kunnen organisaties de resterende tijd tot 25 mei maar beter goed benutten. Hieronder geeft cybersecurity software en services organisatie BlackBerry een stappenplan om voor 25 mei klaar te zijn voor de GDPR.

Stap 1: Nog 90 dagen te gaan
De eerste stap is het uitzoeken van alle persoonsgegevens die de organisatie bezit en wat er daadwerkelijk van wordt gebruikt. Vaak hebben organisaties zes keer zoveel data verzameld dan ze werkelijk nodig hebben. Als duidelijk is welke data niet nodig is, dan kan het minimaliseren beginnen. Alle overbodige data kan verwijderd worden en alleen bepaalde medewerkers moeten toegang krijgen tot deze informatie. Organisaties moeten daarnaast kijken naar de mogelijkheden voor datagoedkeuring en rechtmatige gegevensverwerking. Het is belangrijk voor de naleving van de GDPR om alle besluiten over data te documenteren.

Stap 2: Nog 60 dagen te gaan
Betrokkenheid vanuit het management is zeer belangrijk voor het succesvol doorvoeren van de GDPR in de organisatie. Daarnaast moet de Data Protection Officer (DPO) onafhankelijk zijn en de middelen hebben om zijn werk uit te voeren. Een deel van zijn werk is het aanschaffen van protocollen en systemen om ervoor te zorgen dat het bedrijf vanaf dag één GDPR-compliant is. Om alle medewerkers aan boord te krijgen van deze protocollen is het belangrijk om ze ruim van tevoren te herinneren aan de invoering van de GDPR en de stappen die ze voortaan moeten nemen te doorlopen.

Stap 3: Nog 30 dagen te gaan
Zelfs met volledige ondersteuning van management, is er geen garantie dat de volledige organisatie bewust is van alle kennis, protocollen en nieuwe systemen voor de GDPR. Start daarom nu een oefenmaand voordat de wetgeving in werking treedt. Dit zorgt ervoor dat alle werknemers en partners van de organisatie op de hoogte zijn van alle vereisten.

Minimaal risico, maximale beloning
Alle tactieken hebben eigenlijk hetzelfde doel voor ogen: begrijpen waar de risico’s zich bevinden en risico’s minimaliseren. Hoe meer gegevens organisaties bezitten, hoe meer risico’s deze met zich meebrengen. Of het nu gaat om het gebrek aan toestemming of het onzorgvuldig gebruik van de gegevens. Vooral in grote organisaties bestaat altijd de kans op het lekken of misbruiken van gegevens door slecht geïnformeerde medewerkers.

Verantwoordelijk gebruik van persoonsgegevens is belangrijk voor het imago van bedrijven, maar voorkomt ook boetes. Een gerichte strategische aanpak helpt om nog voor de deadline GDPR-compliant te worden.