GDPR: niets om je zorgen over te maken...

General Data Protection Regulation

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking. De GDPR, voluit General Data Protection Regulation is een verordeing uitgevaardigd door de Europese Commissie. Dit betekent dat ze - in tegenstelling tot Europese Richtlijnen - rechtstreeks afdwingbaar is in alle lidstaten van de Europese Unie. We krijgen dus een privacy-aanpak die uniform is voor de hele Europese Unie.

Als we even ons petje van professional afzetten is die hele GDPR eigenlijk uitstekend nieuws. Door de nieuwe wet zullen onze persoonlijke gegevens namelijk een stuk beter beschermd zijn dan vandaag het geval is. We moeten er echter ook niet flauw over doen, voor de bedrijven is de GDPR (in het Nederlands AVG) een stuk minder nieuws.

  • Zich conformeren aan de nieuwe wet zal tijd kosten
  • Er zal ongetwijfeld ook een niet te verwaarlozen kost tegenover staan
  • We zullen de manier waarop we werken op bepaalde vlakken ingrijpend moeten veranderen.

De GDPR is dus goed nieuws voor ons als persoon, maar ook minder goed nieuws voor ons als professional. Bij DULL geloven we echter heilig in een positieve aanpak van het 'probleem' GDPR.

Richting GDPR-compliancy

Kort gezegd komt het erop neer dat de GDPR ervoor zorgt dat bedrijven niet meer zo maar eender wat mogen doen met de persoonlijke data die ze verzamelen. Bedrijven moeten een aantal maatregelen nemen om ervoor te zorgen dat ze compliant zijn aan de wet. Zo zijn er een aantal rechtsgronden waarop men zich kan baseren om op een juridisch correcte manier aan verwerking van persoonsgegevens te doen.

Om bedrijven te helpen zich te conformeren aan de GDPR, doorlopen wij drie stappen:

  • In kaart brengen van de huidige situatie
  • Adviezen uitwerken voor niet conforme datastromen
  • Adviezen implementeren

In kaart brengen van de huidige situatie

In de eerste fase willen we een helicopter view krijgen van hoe de situatie op vandaag is. We brengen alle datastromen binnen de organisatie in beeld en werken een erg visueel auditrapport uit.

In dit auditrapport is in één oogopslag de situatie duidelijk. We werken met pijlen in verschillende kleuren. De oranje en rode pijlen zijn op vandaag nog niet conform de GDPR. Hiervoor gaan we in de volgende fase adviezen uitwerken.

Adviezen uitwerken voor niet conforme datastromen

Voor alle problematische datastromen moeten één of meerdere maatregelen worden genomen. Er zijn drie verschillende soorten mogelijke maatregelen:

  • Juridische maatregelen, dit betekent dat er contracten moeten worden opgemaakt of bijgewerkt. Dit kan worden gedaan door ons, door de interne juridische dienst of door een externe juridische partner.
  • Technische maatregelen, dit betekent dat er op IT-niveau een aantal ingrepen moeten gebeuren. Dit kan gebeuren door een interne IT-dienst of door een externe IT-partner.
  • Gedragsmatige maatregelen, dit betekent dat bepaalde gedragingen en processen moeten worden bijgestuurd. Dit gebeurt aan de hand van trainingen.

Er wordt een checklist opgemaakt van de verschillende te nemen maatregelen. Vervolgens wordt deze checklist vertaald naar een roadmap. Dit betekent dat we per maatregelen gaan oplijsten:

  • Wie gaat deze maatregelen nemen?
  • Wanneer gaan we deze maatregelen nemen?
  • Welke kost is hieraan verbonden?

Op die manier komen we tot een heldere roadmap, een document dat heel belangrijk zal zijn bij een eventuele controle van de privacycommissie. Het einddoel van de roadmap hoeft niet 25 mei 2018 te zijn, dit mag gerust in de toekomst liggen. Op 25 mei 2018 moet deze roadmap wel af zijn, zo kun je bij een eventuele controle toch bewijzen dat je als organisatie bezig bent met privacy.

Adviezen implementeren

In de derde en laatste fase wordt de roadmap dan effectief in de praktijk gebracht. Dit betekent dat de adviezen effectief moeten worden uitgevoerd door de persoon of organisatie die hiertoe werd aangeduid in de roadmap.

Prijs? Kost? Kostprijs?

Het is onbegonnen werk om een vaste prijs te plakken op een GDPR-traject. Er zijn zo veel factoren die een impact hebben op de omvang van de opdracht. Eén ervan is natuurlijk hoe goed de organisatie de afgelopen jaren al met persoonlijke data is omgesprongen. Dit is informatie die we pas na de audit zullen kunnen verkrijgen. We hebben op onze website wel een rekenmodule geplaatst die je toelaat om aan de hand van een aantal vraagjes de kostrpijs voor je GDPR audit te berekenen.

Bereken de prijs van je GDPR audit

De échte opportuniteit van GDPR

Je hoort heel wat GDPR-dienstverleners praten over de opportuniteiten van GDPR. Als je hier dieper op inzoomt blijkt dat ze het hebben over het concurrentieel voordeel dat bedrijven hebben wanneer ze transparant communiceren over privacy. Tja, niet écht een concurrentieel voordeel als je weet dat iedereen transparant moèt communiceren over privacy natuurlijk.

De échte opportuniteit in GDPR ligt er volgens ons in dieper te graven. 25 mei 2018 is een momenten. Alle bedrijven moeten tijd en middelen investeren in het conformeren aan de nieuwe wet. Waarom dan niet dit momentum aangrijpen om te investeren in het opstellen van een datastrategie?

Een datastrategie biedt een antwoord op volgende vragen:

  • Hoe gaan we op de meest efficiënt mogelijke manier zo veel mogelijk data verzamelen?
  • Hoe gaan we deze data optimaal integreren in onze bedrijfsprocessen?

Zo is het perfect mogelijk om aan de hand van een goeie datastrategie bestaande processen te verbeteren, je klanten nog beter te bedienen of misschien zelfs om volledig nieuwe businessmodellen te ontwikkelen.

Meer lezen?

Aan de slag?

Vul alvast onze rekenmodule in om de prijs van je GDPR-audit te berekenen. Wil je graag meer informatie? Laat hieronder je e-mailadres na, dan nemen wij contact met je op!

Contacteer mij



Verstuur
Terug naar Onze diensten