Eén jaar tot de AVG | KPMG | NL

Eén jaar tot de AVG: Praktische inzichten om zes valkuilen te vermijden

Eén jaar tot de AVG

Vandaag, 25 mei 2017, zijn we precies één jaar verwijderd van het moment dat de AVG (Algemene Verordening Gegevensbescherming), ook wel GDPR genoemd, officieel gehandhaafd wordt door toezichthouders. Veel organisaties zijn sinds afgelopen jaar druk aan het werk met privacy programma’s om zich adequaat voor te bereiden. Wij zien veel organisaties die aan de slag zijn gegaan met het uitvoeren van privacy impact assessments, het integreren van privacy in het procesontwerp, het aanwijzen van een functionaris voor de gegevensbescherming, maar ook het opzetten van een juiste governance structuur om privacy risico’s actief te beheersen. Maar wat zijn nu de meest voorkomende uitdagingen en valkuilen?

1000

Contact

Information Security | Data Privacy | IT Governance

KPMG in the Netherlands

Contact

Gerelateerde content

1. Het privacy programma starten vanuit een compliance oogpunt

Dit lijkt wellicht tegenstrijdig omdat het startpunt vaak wordt gevormd vanuit de AVG-vereisten. De AVG is echter niet alleen een juridisch vraagstuk, maar is ook zeker een risicomanagementkwestie. Als uw privacy programma niet juist is afgestemd op uw bedrijfsprocessen en de relevante privacy risico’s worden tijd en mankracht verspild door enkel lijstjes af te vinken. Richt uw focus daarom eerst op hoge risico’s – houd hierbij uw klant in het achterhoofd.

2. Uitsluitend een focus op gestructureerde data

Bij het beoordelen van gaps wat betreft de AVG is het heel verleidelijk om uitsluitend te focussen op persoonsgegevens die op een gestructureerde wijze zijn vastgelegd in systemen. Echter wordt ongeveer 80% van bedrijfsgegevens vaak in ongestructureerde vorm opgeslagen. Het is dan ook zeer waarschijnlijk dat uw privacy probleem niet volledig wordt aangepakt, indien de aandacht puur op gestructureerde systeemdata is gericht. U dient ook e-mail, gedeelde lokale en regionale schijven, samenwerkingshulpmiddelen zoals Google Drive, (ongestructureerde) big data oplossingen zoals Hadoop, beveiligingsopnames etc. in overweging te nemen. Oplossingen die ongestructureerde data kunnen scannen helpen u met het identificeren van de omvang van dit vraagstuk.

3. Het opstellen van een algemeen beleid en standaard procedures

Het is gemakkelijk om veel documentatie op te stellen wat betreft beleid en procedures. Echter is alleen het opstellen van documentatie niet voldoende voor de AVG. U dient privacy beheersingsmaatregelen te implementeren, waarbij er bij voorkeur zoveel mogelijk wordt geautomatiseerd, om andere bedrijfsprocessen zo min mogelijk te verstoren. Bovendien kunt u uw inspanningen beter richten op het creëren van korte en duidelijke op maat gemaakte richtlijnen voor elke afdeling over de aanpak van privacy specifieke problemen.

4. Algemene training voor de gehele organisatie

Dat werknemers training nodig hebben is duidelijk, maar om hun werkwijze daadwerkelijk te veranderen moet de privacy training gericht zijn op belangrijke bedrijfsprocessen en gerelateerde privacy risico’s. Dit betekent binnen productontwikkeling een privacy by design training voor ontwikkelaars, voor marketing een analytics- en direct marketingtraining etc. Het trainen van werknemers en het stimuleren van bewustzijn is een bewezen effectieve aanpak om de zwakste schakel binnen uw organisatie – uw medewerkers – aan te pakken.

5. Privacy is hetzelfde als beveiliging

Privacy wordt binnen veel organisaties nog steeds behandeld als (klein) onderdeel van security. Security is zeker vereist voor (en ook verstrengeld met) privacy, maar security alleen kan geen privacy garanderen. Security en privacy moeten dan ook samenwerken, efficiënt ingericht zijn, en gericht zijn op cohesie. In het privacybeleid moeten de beveiligingsmaatregelen vastgelegd worden die nodig zijn voor verschillende typen persoonsgegevens. Door classificatie van deze data te integreren in uw bestaande classificatiebeleid kan dit efficiënt georganiseerd worden.

6. Besluiten om een datalek niet te melden

De meldplicht datalekken is bedoeld om transparantie te bevorderen, echter is het een optimistische gedachte dat alle organisaties alle geconstateerde meldingen melden. Er zijn nog steeds organisaties die het melden van een datalek beschouwen als iets negatiefs. Zij hebben de neiging om een datalek niet te melden, omdat ze denken dat dit hun reputatie schaadt. Het is een echter een algemeen misverstand dat het rapporteren van een datalek altijd resulteert in een boete. Het tegenovergestelde is waar; het niet melden van een datalek kan leiden tot een boete tot €500.000. Het merendeel van de datalekken die gemeld zijn in het eerste kwartaal van 2017 hebben echter na onderzoek enkel een waarschuwing ontvangen.

Terwijl boetes bestuurders kunnen afschrikken, zien wij dat de voornaamste drijfveer bij het uitvoeren van privacy programma’s steeds vaker ligt bij het hooghouden van de reputatie van de organisatie. De vraag is dan ook of u uw concurrentie voor wilt zijn door uw organisatie positief te onderscheiden binnen het privacydomein. Een hogere mate van transparantie gecombineerd met klanten die meer controle hebben over hun eigen gegevens helpt in het vergroten van het vertrouwen in uw organisatie. Uiteindelijk zullen klanten hierdoor vaker voor u kiezen – in plaats van de concurrent die privacy minder op orde heeft – en meer bereidwillig zijn in het delen van hun gegevens.

KPMG kan u helpen in de voorbereiding voor de AVG om deze valkuilen te vermijden, door u te ondersteunen in het uitvoeren van uw privacy programma.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig