Een positieve blik op GDPR veranderingen

Edward van Deursen over de nieuwe GDPR wetgeving.

Als Chief Information Security Officer en Data Protection Officer heeft Edward van Deursen de afgelopen twee jaar vanuit zijn eigen onderneming Securesult het privacybeleid van o.a. de Raad van State opgesteld. Eind augustus hebben wij met hem gesproken over de impact van de veranderende wetgeving met betrekking tot gegevensbescherming. De Nederlandse Wet bescherming persoonsgegevens (Wbp) verdwijnt en wordt in Europa vervangen door de General Data Protection Regulation (GDPR). Deze diepgaande privacy wetgeving gaat in mei 2018 van kracht. De consequenties zijn verstrekkend en de torenhoge boetes die opgelegd kunnen worden liegen er niet om. Reden voor paniek? Als je het Edward vraagt niet. Deze nieuwe wetgeving biedt ook kansen en hij legt uit waarom.

“Als je erover nadenkt hadden heel veel GDPR richtlijnen al geïmplementeerd moeten zijn binnen organisaties. Organisaties dienen inzicht en overzicht te hebben in welke risico’s ze lopen en welke maatregelen er zijn genomen om die risico’s te beperken. Voor veel organisaties is de GDPR dan ook een uitgelezen kans om datastromen in kaart te brengen.

Privacy als onderscheidende factor

Opvallend is dat veel directies van grote ondernemingen nog helemaal niet met deze verordening bezig zijn, terwijl een goede aanpak om privacy te waarborgen ook juist een onderscheidende factor kan zijn voor een organisatie. De GDPR biedt ook de mogelijkheid tot certificering voor organisaties en is daardoor een manier om aantoonbaar succesvol te zijn op dit gebied.

Wij slaan met z’n allen ontzettend veel data op en vaak is de verantwoordelijkheid voor privacy niet helder binnen organisaties besproken. In aanloop naar mei 2018 is het raadzaam om die data eens goed te bestuderen. Wat slaan we op en waarom? Waar slaan we het op? Wat doen we met de data die we verwerken op dit moment? Daarnaast is gedragsverandering ook nodig binnen organisaties. Mijn aanpak daarin is altijd: duidelijk communiceren.

Mensen willen niet zomaar veranderen als ze daar de noodzaak niet van inzien.

Ik leg daarom altijd uit waarom wij bepaalde maatregelen nemen en waarom we die ook moeten nemen, gekoppeld aan tips en tricks waar mensen privé ook nog iets aan hebben. Te denken valt dan aan het verwijderen van applicaties; ze nemen bijvoorbeeld extra schijfruimte in beslag en zorgen voor meer kwetsbaarheden.

Informatie die je niet hebt kun je ook niet kwijt raken

Het is een manier van werken. Tijdens het hele ontwikkelingsproces van diensten moet er rekening worden gehouden met privacy. Het traject richting GDPR compliance betekent niet alleen een verandering in de technische infrastructuur en processen, maar ook in de bedrijfscultuur en bijvoorbeeld document management. De veranderende wetgeving is daarom ook te relateren aan business continuity; het gaat namelijk om de beschikbaarheid, integriteit en vertrouwelijkheid van data.

Niet moeten, maar willen

Als het aankomt op privacy gerelateerde beslissingen is het vaakst voorkomende bezwaar: ‘moet dit nou wel?’ Er is een mindshift nodig. Een veel interessantere benadering zou zijn: ‘hoe draagt privacy positief bij aan mijn bedrijfsdoeleinden?’ Zie de GDPR als een kans om te innoveren en security- en privacy maatregelen echt op de kaart te zetten. ‘’

Dit artikel is geschreven door Diane Kwakman

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *