Overslaan naar hoofdinhoud
Pulse
Leestijd, 5 min.

Op woensdag 13 december 2017 ging de uitvoeringswet over gegevensbescherming naar de Tweede Kamer. Deze wet geeft uitvoering aan de Europese Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) die op 25 mei 2018 in werking treedt.

Onderzoeksbureau Team Vier voerde in opdracht van Microsoft Nederland onderzoek uit naar de stand van zaken met betrekking tot de AVG. Ze ondervroegen ruim 600 Nederlandse directeuren en IT-managers. Hieruit blijkt dat IT-managers over het algemeen beter bekend zijn met de AVG dan directeuren en er regelmatiger over praten.

Alle respondenten zijn weliswaar bekend met deze nieuwe regelgeving, maar niet iedereen weet precies of deze op hun organisatie van toepassing is. De IT-managers (84 procent) zijn zich hier meer van bewust dan de directeuren (72 procent). Van de IT-managers is overigens 68 procent positief over de AVG tegenover 57 procent van de directeuren. Duidelijkheid rond richtlijnen, meer transparantie en verbeterde bescherming van persoonsgegevens zijn hiervoor aangedragen redenen. Toch bleek het risico op boetes niet nadrukkelijk bekend bij medewerkers. Slechts een kleine minderheid (6 procent) gaf aan dat de organisatie nu al aan de AVG-eisen voldoet en slechts een krappe meerderheid (51 procent) grijpt naleving aan om processen te verbeteren.

AVG gaat de IT voorbij

Het is opmerkelijk maar niet verrassend te noemen dat het de IT-managers zijn die het meest betrokken zijn. Opmerkelijk omdat de kern van de AVG, zorgvuldige verwerking en bescherming van persoonsgegevens, niet altijd voortkomt uit IT-gerelateerde overwegingen. Het verwerken van persoonsgegevens is een keuze gemaakt door het management, bijvoorbeeld vanwege marketing-gedreven doelen. Daarmee is naleving een verantwoordelijkheid van de gehele organisatie. De AVG vraagt vooral om bewustwording en het aanpassen van hoe de organisatie nadenkt over het verzamelen, verwerken, beheren en beveiligen van persoonsgegevens. In de praktijk betekent dit een cultuurverandering en nieuwe manieren van werken die ondersteund kunnen worden door modernisering van de IT-omgeving. Bovenstaande is echter niet verrassend, omdat ik in discussies rond de AVG vooral IT-verantwoordelijken opmerk, terwijl die discussie ook aan de bestuurstafel zou moeten worden gevoerd.

Tastbaar

In gesprekken met partners en klanten merk ik dat de AVG voor velen nog niet heel tastbaar is. Persoonlijk verwijs ik graag naar twee specifieke artikelen van de verordening – de artikelen 5.1 en 5.2, voor ingewijden. Die geven inzicht in de basisbeginselen van de verordening. En leiden automatisch tot de vraag: wil ik persoonsgegevens verzamelen en verwerken? Met andere woorden: heb ik een rechtmatige grond en ben ik daar transparant over?

In een digitale wereld zijn die redenen niet moeilijk te vinden: je organisatie wil klanten een persoonlijke ervaring bieden en dat vereist het verzamelen van persoonsgegevens. De kernvraag ‘wil ik persoonsgegevens opslaan?’ is doorgaans niet een beslissing van de IT-afdeling.

Als bovenstaande het geval is – en dat zal het bij nagenoeg elke organisatie zijn – is de vervolgvraag wát je gaat verzamelen. Want je moet ten eerste zorgen dat je gegevens verzamelt die passen bij het doel (doelbinding) en ten tweede ook niet meer verzamelt dan nodig is. De AVG-tekst noemt dat laatste ‘minimale gegevensverwerking’. Dit zorgt voor duidelijkheid en minder risico’s. De mate waarin je persoonsgegevens verzamelt, is uiteindelijk ook een zaak die goed besproken moet worden in de directiekamer.

Als deze zaken duidelijk geadresseerd zijn, kun je praktisch aan de slag met het inrichten van processen om de persoonsgegevens goed te beschermen. Samenvattend zijn de volgende zaken belangrijk:

Identificeren – het in kaart brengen van alle persoonsgegevens binnen jouw organisatie en waar ze zich bevinden.

Beheren – het managen van de wijze waarop persoonsgegevens worden gebruikt en van de manier waarop ze toegankelijk zijn.

Beveiligen – het nemen van veiligheidsmaatregelen om kwetsbaarheden en gegevensinbreuken te voorkomen, te traceren en aan te pakken.

Rapporteren – het reageren op verzoeken omtrent gegevens, rapporteren van gegevensinbreuken en -lekken en beschikbaarheid van de vereiste documentatie.

In control

Het adresseren van bovenstaande zaken maakt het mogelijk om in control te worden en dat is precies de bedoeling van de AVG. Juist daarom is de AVG ook een uitgelezen kans om al je processen nog eens goed te bekijken en verbeteringen door te voeren, daar waar dat nuttig en nodig is. Want in control zijn levert je veel voordelen op: je vermindert de risico’s en vergroot de efficiency. Je kunt in dit verband ook meteen duidelijkheid scheppen in de vraag wie waar verantwoordelijk voor is. In het managementteam wordt meestal besloten welke persoonsgegevens worden verzameld. Vervolgens adviseert IT vaak, helpt bij het ‘hoe’ en zorgt ervoor dat data goed beschermd is.

Keuzes maken

Wanneer je nog moet beginnen met AVG binnen je organisatie is het raadzaam om een gestructureerd proces te volgen. Daarin is het belangrijk goed na te gaan waar je de grootste risico’s loopt in de bescherming van persoonsgegevens. Het wordt heel moeilijk om tussen nu en 25 mei 2018 alles in één keer te doen als je organisatie omvangrijk is. Je zal je dus op de belangrijkste zaken moeten richten.

Het goed evalueren van risico’s – en kansen – past ook bij uitgangspunten van de AVG, zoals het nemen van passende technische en organisatorische maatregelen. Bepaal wat op de korte termijn echt belangrijk is en begin daarmee. Daarnaast is het zaak om de AVG niet te onderschatten. Het zal de nodige tijd en energie vragen om alles goed voor te bereiden en uit te voeren. En als je dan toch bezig bent, is dit ook het juiste moment om te checken hoe je met het implementeren hiervan de organisatie meer kan laten bereiken.

Ga je zelf met de AVG aan de slag, dan vind je online veel achtergrondinformatie en nuttige tools, zoals de AVG-scan en een handige whitepaper met een stappenplan van Microsoft. Daarnaast zijn er tal van Microsoft-partners die veel kennis en expertise hebben opgebouwd op het gebied van de AVG en die kunnen helpen, waar en wanneer dat nodig mocht zijn. Kijk voor meer informatie op onze website of download hier de AVG infographic.

Gratis eBook: Ontdek hoe Dynamics 365 naleving van wet- en regelgeving en een klantgerichte cultuur mogelijk maakt

Ontdek hoe Microsoft Dynamics 365 je marketingteam helpt om aan alle eisen te voldoen en klantgericht te worden

Gratis eBook: Ontdek hoe Dynamics 365 naleving van wet- en regelgeving en een klantgerichte cultuur mogelijk maakt

Ontdek hoe Microsoft Dynamics 365 je marketingteam helpt om aan alle eisen te voldoen en klantgericht te worden

Educatie

Finance

  • een man en een vrouw zitten in een conference room

    From outsourcing to cloud sourcing

    Capgemini and Microsoft leverage strategic partnership to enable Data Center Transformation with Microsoft Azure for Dutch clients Many organizations are looking to modernize their infrastructure and applications to enable digital transformation, reduce infrastructure footprint and cost, and increase flexibility. End-to-end digital transformation requires a secure, robust, and decomplexified infrastructure. However, it is no secret that […]

  • CFO going over numbers in a meeting using the Surface Hub. Business attire

    Digital skills tillen accountancy naar een hoger niveau

    Accountants in het mkb hebben veel meer in hun mars dan alleen het controleren van cijfers en de betrouwbaarheid van financiële informatie garanderen. Door hun horizon te verbreden, moderne technologie omarmen en de positie als vertrouwenspersoon nog beter te benutten worden ze een financiële coach. Digitale technologie waaronder big data, analytics en AI gecombineerd met […]

Government

  • Blik op de toekomst met Surface Pro

    Blik op de toekomst met Surface Pro

    Werken voor de overheid heeft tegenwoordig een goed imago. Digitale toepassingen en ontwikkelingen volgen elkaar in deze sector in rap tempo op. Ze worden ingezet om processen en dienstverlening te stroomlijnen, de toegankelijkheid voor burgers te vergroten en maatschappelijke trends te signaleren. Een valkuil die je vaak tegenkomt wanneer de ontwikkelingen te snel gaan om […]

  • een vrouw die aan een tafel zit

    Meer privacytransparantie voor onze commerciële cloudklanten

    Bij Microsoft luisteren we naar onze klanten en streven we ernaar hun vragen en feedback zo goed als mogelijk te beantwoorden. Een van onze basisprincipes is immers om onze klanten te helpen succesvol te zijn. Vandaag kondigt Microsoft een update aan van de privacybepalingen in de Microsoft Voorwaarden voor Online Diensten (VOD) in onze commerciële […]

Manufacturing

Retail

  • Met data-analyse beter gewapend tegen factuurfraude

    Met data-analyse beter gewapend tegen factuurfraude

    Factuurfraude is een populaire vorm van oplichting. Het is relatief eenvoudig om een nepfactuur op te stellen die, dat hopen de daders dan maar, door de mazen van het net glipt en betaald wordt. Zodra het geld is overgemaakt, is het kwaad geschied: je bent het geld kwijt en het is ook niet meer terug […]

  • Wat hebben sokken, onderbroeken en IT met elkaar te maken?

    Wat hebben sokken, onderbroeken en IT met elkaar te maken?

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft en haar partners graag een rol in spelen. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien hoe technische oplossingen ondernemers helpen om alle elementen in hun bedrijf te […]

Zorg

  • Pharmaccess maakt Zorg in Afrika toegangkelijk

    Pharmaccess maakt Zorg in Afrika toegangkelijk

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft en haar partners graag een rol in spelen. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien hoe technische oplossingen ondernemers helpen de volgende stap te zetten om zo […]

  • Een foto van het Savant kantoor

    Het Barbapapa-model van Savant Zorg

    Flexibiliteit en veilig werken met Office 365 en Enterprise Mobility en Security Automatisering behoort werknemers niet te belemmeren bij de uitvoering van hun taken, maar hun werkzaamheden juist te vereenvoudigen. Bij Savant Zorg zijn ze daar met hulp van Cloud Life en Microsoft uitstekend in geslaagd. Joris van den Eijnden, Manager ICT en Functionaris Gegevensbescherming: […]