GDPR: Haal businesswaarde uit juridische noodzaak

13 juli 2017

De EU-wetgeving General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), treedt pas op 25 mei 2018 in werking, maar wie zich daar nu niet goed op voorbereid is straks te laat. Wat moeten organisaties nu doen om straks compliant te zijn?

De wet stelt onder meer dat iedere Europese burger het recht heeft om te weten hoe zijn/haar gegevens worden gebruik en ook het recht heeft om data in te zien, te veranderen of de verwijderen uit de systemen. De wet regelt ook dat data alleen gebruikt mogen worden voor het doel waarvoor ze zijn verzameld. Dat betekent dat een bank die persoonlijke data van jou vastlegt ten behoeve van een hypotheek deze data niet mag gebruiken om je een mailing te sturen voor een creditcard. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen die kunnen oplopen tot maximaal 20 miljoen euro of 4% van de jaarlijkse concernomzet.

Privacy by design

Alle reden om nu in control te komen op persoonsdata. GDPR-expert Bart Hulstman zegt: “Voor een kleiner bedrijf met slechts één type dienstverlening is het wel te doen om voor 25 mei 2018 volledig in control te komen op alle persoonsdata (voornamelijk data van klanten en medewerkers). Maar voor grotere organisaties die actief zijn in meerdere takken van sport is het een uitdaging. Mijn advies is: blijf niet te lang hangen in het maken van beleid, maar begin gewoon bij die processen en die data waarmee je het grootste risico loopt. Stel eerst op hoog niveau vast: waar zitten mijn belangrijkste risico’s? Trechter dit tot een top-5 of top-10 van processen en doe op die processen een Privacy Impact Analyse (PIA), waarmee je de risico’s in kaart brengt. Vanuit die risico’s volgt vanzelf wat je zou moeten regelen op het gebied van mensen (gedrag), processen en systemen. Gebruik de lessen die je opdoet bij het ‘in control’ komen op processen met de grootste risico’s om stap voor stap ook je andere processen onder handen te nemen.” Deze aanpak helpt om voldoen aan de wetgeving ‘business as usual’ te maken. We noemen dit ook wel ‘privacy by design’. Een ander onderdeel van ‘privacy by design’ is van alle data vastleggen voor welke doelen je die data mag gebruiken en hoe lang je de data mag bewaren. “Richt dan ook meteen een proces in dat de data automatisch verwijdert als het doel waarvoor je de data hebt verzameld niet langer relevant is.”

GDPR als kans

Eric Nijman roept organisaties op om de nieuwe wet niet alleen maar te zien al juridische rompslomp, maar als kans om je te onderscheiden. “Nederlandse bedrijven nemen gemiddeld genomen de privacy van hun klanten erg serieus. Veel bedrijven hebben dus een concurrentievoordeel door goed omgaan met klantdata.  Ons advies is: zie dit als manier om klanten te laten zien dat je hun privacy serieus neemt. Bouw hiermee vertrouwen op naar je klanten.”

Benieuwd naar de Qhuba aanpak van GDPR? Lees hier meer.

Meer weten over de GDPR ofwel AVG? Download dan hier de whitepaper.

Auteur

Frank Leevendig Frank.Leevendig@qhuba.com - 06-11197581 - LinkedIn

Whitepaper