Naarmate 25 mei 2018 dichterbij komt is er een onderwerp dat we uitputtend voorbij zien komen: de Algemene Verordening Gegevensbescherming (AVG), misschien bekender onder de Engelse afkorting GDPR. Vanaf 25 mei 2018 treedt deze nieuwe Europese privacywet in werking en alle doemscenario’s zijn zo onderhand in extenso omschreven. Dé grote bangmaker: organisaties zijn niet klaar als de GDPR ‘straks’ van kracht wordt. Maar al die scenario’s – van torenhoge boetes tot enorme reputatieschade – ontnemen het zicht op hoe bedrijven hiermee momenteel bezig zijn. Er is een cultuuromslag gaande.
Mensen krijgen meer rechten over hun eigen gegevens die organisaties hebben opgeslagen. Denk hier bijvoorbeeld aan het recht op ‘vergeten te worden’, wat in feite neerkomt op het wissen van gegevens. Het gaat in de kern om het kunnen voldoen aan waar de betrokkenen recht op hebben. Zo moeten organisaties onder andere helder in kaart brengen welke gegevens ze in huis hebben en waarom. En die data moeten volgens de richtlijnen worden beschermd. Als de organisatie groot genoeg is moet daar zelfs nog een speciale functionaris voor worden aangesteld. Dit betekent dat organisaties voor een grote administratieve taak staan. Een taak die door vele ook als last ervaren zal worden. Zo vreemd is het dus niet dat menigeen zich zorgen maakt of die taak wel op tijd volbracht zal worden.
Niet reëel
Toch zien we in de praktijk dat er een cruciale ontwikkeling in volle gang is. Cyberveiligheid en daarmee ook het beschermen van persoonsgegevens blijkt voor veel organisaties een cultuurverandering te zijn. En een cultuurverandering kost veel tijd, terwijl de deadline 25 mei 2018 is. Je kunt natuurlijk steeds weer voor die deadline waarschuwen, maar het is gewoon niet reëel om te verwachten dat organisaties deze deadline halen.
Winst!
Is de GDPR daarom bij voorbaat al mislukt? Zeker niet. Zoals gezegd is er erg veel over de wet geschreven, er zijn talloze sessies gehouden, IT-bedrijven hebben en masse hun klanten gewezen op de verordening. Dat is allemaal niet zonder gevolg gebleven. Wij zien dat organisaties zich nu meer dan ooit bewust zijn van de noodzaak zorgvuldig en dus ook veilig met gegevens om te gaan. Dit alleen al is winst!
Het bewustwordingsproces zou zonder deze wet niet of nauwelijks op gang zijn gekomen. Organisaties realiseren zich dat zij anders moeten omgaan met data én waarom dat belangrijk is. Zij zijn zich er bovendien van bewust dat het om een duurzame verandering moet gaan, een cultuuromslag. Het gaat er niet om op 25 mei 2018 eenmalig aan de GDPR te voldoen, maar dat ook te blijven doen.
Fundament is er vaak al
Een gevreesd onderdeel van de GDPR is de ‘omgekeerde bewijslast’. Een aspect dat we op het gebied van privacywetgeving in Nederland overigens al kennen sinds de meldplicht datalekken in werking trad. Organisaties moeten kunnen aantonen dat zij zich aan de wet houden. Dat lukt alleen als zij vastleggen met welke gegevens zij werken, waar deze verzameld zijn, wie allemaal geautoriseerd toegang heeft tot die gegevens, enzovoorts. Dankzij die administratieve ‘last’ wordt het fundament voor de bewijsvoering opgebouwd. De organisatie weet precies welke data waar staat en wat ermee gebeurt. Het is daarnaast een solide basis voor de te nemen technische en organisatorische maatregelen.
Vals gevoel van veiligheid
Voor de meeste mensen is het internet onzichtbaar, waardoor cybercrime ongemerkt plaats kan vinden. Dit geeft een vals gevoel van veiligheid met als gevolg dat cyberveiligheid lang geen prioriteit kreeg. De GDPR dwingt deze af bij organisatie en heeft nu al voor meer bewustwording gezorgd. Veel organisaties zijn op weg om de wet straks te kunnen naleven. Dat gaat niet van de ene dag op de andere. Het gaat stap voor stap en tijdens die ‘wandeling’ zullen organisaties meer inzicht krijgen in welke data ze verzamelen en waarom. Dat inzicht is nodig om uiteindelijk de passende technische en organisatorische maatregelen te nemen.
Zet het proces voort!
Bewustwording van het belang van juist omgaan met (privacygevoelige) gegevens is de noodzakelijk eerste stap. Als die stap eenmaal genomen is blijken organisaties vaak verder te zijn dan ze denken. Er zullen maar weinig bedrijven te vinden zijn die niets aan security hebben gedaan. De volgende stap is dat er kan worden voortgebouwd op de maatregelen die er op dit vlak al zijn genomen. Dat kunnen ze wellicht zelf, of anders met hulp van externe partijen. We moedigen iedereen dan ook aan dit proces voort te zetten, ook ná 25 mei 2018. Uiteindelijk gaat het om het doel van de GDPR, namelijk omgaan met data op een manier die recht doet aan de waarde ervan.
Erik de Jong en Josta van Brouwershaven, Fox-IT
