De Europese Privacy Verordening komt (en dat biedt kansen)

De Europese Privacy Verordening komt

Van alle Europeanen had nog maar 1 procent internet, Mark Zuckerberg was een jochie van amper elf jaar en Nederland moest de zoekmachine nog ontdekken. Dat was in 1995. Zolang is het inmiddels geleden dat de Europese Unie met haar eerste privacyregelgeving op de proppen kwam. Komende zomer verandert dat.

Information Security | Data Privacy | IT Governance

KPMG in the Netherlands

Contact

Gerelateerde content

De Europese Privacy Verordening komt (en dat biedt kansen)

Van alle Europeanen had nog maar 1 procent internet, Mark Zuckerberg was een jochie van amper elf jaar en Nederland moest de zoekmachine nog ontdekken. Dat was in 1995. Zolang is het inmiddels geleden dat de Europese Unie met haar eerste privacyregelgeving op de proppen kwam. Komende zomer verandert dat.

Dan geven Europese regeringsleiders hun fiat aan de nieuwe Europese Privacy Verordening, een verordening waarover vier jaar lang is onderhandeld en die een recordaantal van meer dan vierduizend wijzigingen kende. De impact blijkt uit de Cyber Trends Index, die wereldwijd artikelen over cyber security monitort.

Regelgeving staat in de cybertrendlijst stijf bovenaan. Over bijna geen enkel ander onderwerp werd in 2016 al zoveel geschreven als over nieuwe regelgeving. Wat komt er op ons af?

De belangrijkste wijzigingen op een rij.

  • Aantoonbaar compliant. Organisaties moeten kunnen aantonen dat ze maatregelen hebben genomen om privacy te beschermen en dat ze deze bescherming continu controleren en actualiseren.
  • Prio voor privacy. Organisaties moeten bij de implementatie van een nieuwe toepassing privacy borgen en bedenken dat ze persoonsgegevens alleen verwerken als dit noodzakelijk is.
  • Assessment uitvoeren. Organisaties moeten een privacy impact assessment uitvoeren als het waarschijnlijk is dat een voorgenomen verwerking een hoog risico voor privacybescherming kent.
  • Verplichte Privacy Officer. Organisaties moeten in sommige gevallen een Data Protection Officer aanwijzen of aanstellen.
  • Lekken melden. Organisaties moeten een datalek binnen 72 uur melden bij de Autoriteiten. Overigens moet dit in Nederland al sinds 1 januari 2016.
  • Recht om vergeten te worden. Organisaties moeten hun IT-omgeving zo inrichten dat ze persoonsgegevens kunnen verwijderen als personen daarom vragen.
  • Recht om data mee te nemen. Organisaties moeten persoonsgegevens overdragen als personen deze willen meenemen naar een andere organisatie, denk aan een wissel van energieleverancier.

De consequenties zijn aanzienlijk. Wie de nieuwe Europese Privacy Verordening overtreedt, kan een boete tot 20 miljoen euro of 4 procent van de jaaromzet tegemoet zien. Vergeet ook de gevolgen voor de reputatie niet. Wie laat nog vertrouwelijke gegevens achter bij een ‘lek geschoten’ organisatie?

Zijn organisaties er ook klaar voor? De meeste niet, blijkt uit onderzoeken van de Big Four. De helft van de organisaties voert geen risico analyses op het gebied van privacy uit. Het recht om vergeten te worden? Driekwart van de organisaties bleek dit nog niet te hebben geïmplementeerd.

Compliance in 1,2,3,4
Nu krijgen organisaties van de Europese Unie twee jaar de tijd om te voldoen aan de nieuwe verordening. Dat geeft ruimte om een stappenplan op te stellen. Dat betekent:

  1. Een quick scan of assessment uitvoeren om uit te zoeken of de organisatie voldoet aan de regels in de verordening.
  2. Een road map maken om te bepalen welke maatregelen wanneer nodig zijn en hoe deze uit te voeren.
  3. Maatregelen implementeren volgens good practices in de eigen sector.
  4. De privacybescherming in de organisatie monitoren.

Lastig? Nee. Het is per slot van rekening een hele geruststellende gedachte om te weten dat persoonsgegevens en daarmee de reputatie van de organisatie beschermd zijn. Maar minstens zo belangrijk is dat een goede privacybescherming ook kansen biedt. Wanneer je alle aan personen gekoppelde data anonimiseert, zoals vereist, dan kun je aan die schat aan gegevens trends ontlenen en je klanten beter leren kennen. Je mag geanonimiseerde data delen, (laten) analyseren en hergebruiken. Privacy regelen = nieuwe mogelijkheden voor je organisatie aanboren, dat idee.

Vijftien jaar na de eerste Europese privacy-richtlijn deed Mark Zuckerberg een opvallende uitspraak. ‘Privacy is dead,’ verkondigde de Facebook-oprichter. De Europese Unie probeert nu zijn ongelijk te bewijzen. Aan organisaties de opdracht om daaraan mee te werken én de uitdaging om met de nieuwe verordening hun voordeel te doen, ook zakelijk.

Auteur: Maurice Koetsier, Information Security | Data Privacy | IT Governance.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

Nieuwe digitale platform van KPMG

KPMG International heeft een state of the art digitaal platform ontwikkeld dat uw digitale ervaring verbetert en het vinden van nieuwe en relevante content optimaliseert.

 
Lees meer