GDPR: Belgische bedrijven, slapen jullie nog?

[Blog] De eerste stap is vaak de moeilijkste. Zo is het ook bij de weg naar GDPR-compliance. Enkele concrete tips om van start te gaan helpen je vast verder.

 
28 mei 2018. Dat is de deadline die de Europese Unie aan bedrijven stelt om de nieuwe privacywet GDPR na te leven. De GDPR is van toepassing op alle organisaties die data van EU-burgers verwerken, bewaren of gebruiken. Met andere woorden: vrijwel elk Europees bedrijf. Jan Vandenbussche, Division Manager bij interim-managementspecialist Robert Half Management Resources, luidt de alarmbel – we schieten maar niet in actie – en geeft ondernemingen tips om concreet aan de slag te gaan met de aankomende regelgeving.
 

Wie trekt het project?

De eerste vraag die zich stelt: wie moet het GDPR-project leiden binnen de onderneming? Er zijn immers diverse facetten om rekening mee te houden. Naast het juridische en privacy aspect is ook kennis van IT-security noodzakelijk om de wetgeving volledig te implementeren. Even belangrijk is kennis van Data Management. Eén persoon vinden die kennis heeft over de drie facetten (IT, legal en data management) is vrijwel onmogelijk. Dat is belangrijk om te beseffen.
 
Fundamenteel gaat een GDPR-complianceprogramma over een gedragsverandering die je vaak moeilijk efficiënt kan doorvoeren. Daarom moet iemand met de nodige autoriteit – dus hoog in de organisatie – de rol van Data Protection Officer opnemen. Enkel zo kan je als organisatie echt veranderingen wil doorvoeren.
 
Bij onze klanten zien we dat het project veelal van nabij wordt opgevolgd door het breder management omdat GDPR een heel duidelijke impact heeft op hoe en welke business er kan worden gedaan. GDPR moet leven doorheen de hele organisatie want het heeft daadwerkelijk een impact op verschillende afdelingen van een organisatie.
 

Het ideale profiel

We merken dat voornamelijk profielen met een algemene project management achtergrond zorgen voor een vlotte overgang. Project managers hebben vaak de juiste (soft) skills om samenwerkingen binnen verschillende departementen op te zetten. Ze hebben inzicht in bedrijfsprocessen, weten hoe te communiceren en vooral: ze weten medewerkers te enthousiasmeren. Voor veel departementen is databescherming namelijk niet een van de dagdagelijkse bezorgdheden.
 
De project manager vertaalt technische vereisten het best naar business taal en weet legal met IT te verbinden. Bij de GDPR gaat het niet over ingewikkelde bedrijfsprocessen, het zijn vooral de soft skills en planningsvaardigheden die cruciaal zijn. Met een gezonde dosis verstand kom je al heel ver.
 

Voor je aan de slag gaat

We geloven dat complianceprogramma’s veel succesvoller zijn als je een top-downaanpak hanteert. Daarom moeten bedrijven eerst hun bedrijfsmodel en inkomstenstromen bekijken om te begrijpen welke gevoelige privédata ze opslaan en hoe ze die gebruiken. Zo blijven ze gefocust op de grootste challenges met de hoogste risico’s. Aanvankelijk zal de voornaamste focus liggen op:

  • Hoog gevoelige persoonsgegevens die de organisatie in bulk bewaart.
  • Data die de onderneming bewaart en gebruikt (en/of mogelijk doorverkoopt) waarvan de betrokkenen zich niet bewust zijn of waarvoor ze geen akkoord hebben gegeven.

 

Hoe ga je concreet aan de slag?

Er zijn geen gouden regels, want elk bedrijf is anders, maar in eerste instantie moeten de resultaten van deze topdown-analyse in een formele Data Protection Impact Assessment gegoten worden die aan de GDPR-vereisten (artikel 35) voldoet. Bedrijven moeten hun bedrijfsmodel en inkomstenstromen bekijken om te begrijpen welke gevoelige privédata ze opslaan en hoe ze die gebruiken. Deze allesomvattende analyse vormt de basis van formele planning. Kwestie van onafhankelijkheid te garanderen, is het beter om dit niet door de DPO zelf te laten te doen, maar door een externe project manager.
 
Vervolgens moet de prioriteit van de verschillende acties bepaald worden. Het bedrijf moet een allesomvattend actieplan opstellen om alle potentiële risicofactoren van de GBEB te dekken.
 
Het is belangrijk dat bedrijven beseffen dat GDPR-compliance een verplichte transitie is, met het oog op de toekomst en geen eenmalig project. Het is van tel dat een organisatie een proces opstelt om de Data Protection Impact Assesment regelmatig te herbekijken en plannen waar nodig herzien ter verbetering.
 

Blijvende maatregel

De verantwoordelijkheid voor het project zal niet stoppen in mei 2018. Het wordt een ‘on going’ verhaal. Het is iets wat zal moeten blijven leven in de organisatie en eigenlijk zal er een ‘owner’ per departement nodig zijn.
 
Het is vijf voor twaalf. Tijd voor actie.

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business