Home Security Tussen blinde paniek en koele nonchalance

Tussen blinde paniek en koele nonchalance

154

Mooi dat de vakantie weer achter de rug is, want er ligt een druk najaar te wachten. Bovenaan het post-vakantie prioriteitenlijstje staat uiteraard de GDPR. Hoe gaan organisaties daar – met nog minder dan negen maanden te gaan – werk van maken? Hoe krijg je de organisatie in techniek, beleid en mindset klaar voor de strenge databeveiligingswetgeving?

Voor wie er nog even in moet komen: op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht. Dit is de Europese opvolger van de landelijke privacy- en databeveiligingsrichtlijnen. De GDPR, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG), heeft grote impact op elke organisatie die met persoonsgegevens werkt. De voorschriften zijn vergaand en de straffen op non-compliance zijn streng.

De bedoeling van AVG

De AVG is bedoeld om burgers meer grip op hun online gegevens te geven en het gebruik van persoonsgegevens transparanter en afrekenbaar te maken. Betrokkenen moeten op verzoek volledig inzage krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd. Ze hebben het recht ‘vergeten’ te worden. Verder moeten organisaties kunnen aantonen dat ze technische en organisatorische maatregelen hebben genomen om de beveiliging te garanderen. Én ze moeten datalekken direct melden. Grote organisaties moeten een data protection officer aanstellen – in het Nederlands: een “Functionaris Gegevensbescherming (FG)”. Dit alles op straffe van hoge boetes.

Punt 1 op de postvakantie prioriteitenlijst

Het is geen kwestie van kiezen. Iedereen moet mee, vanaf 25 mei is het de nieuwe werkelijkheid. Het is wel zaak om een mooi midden te vinden tussen blinde paniek en koele nonchalance. Dat betekent nu in actie komen – het eerste punt op de postvakantie prioriteitenlijst. Maar wel op een doordachte manier. Waar zitten de risico’s in technologie en in procedures? Bij zo’n analyse zal ook blijken dat veel misschien al goed geregeld is. Een goed ingerichte IT-omgeving (bijvoorbeeld gebaseerd op een modern cloudplatform) zit vaak al behoorlijk dicht tegen de nieuwe eisen aan. Bovendien stelt de AVG ook geen absurde eisen. Het recht op privacy wordt nu gewoonweg steeds beter verankerd in de wet.

De klok tikt door

Het gaat om technologie, beleid en gedrag – kennen, kunnen én willen. Dus niet alleen met management en ict-afdeling of ict-dienstverlener de boel dichttimmeren. Daarbij zijn de mensen op de werkvloer net zo belangrijk bij compliance in de praktijk. Misschien wel het belangrijkste. Zoals bij ieder project, wordt ook hier het succes vooral bepaald door de mate waarin medewerkers de nieuwe regelgeving en techniek ‘adopteren’. Iedereen in de organisatie moet doordrongen zijn van de ernst en het belang. Dus wie nog niet begonnen is: er resteren nog krap negen maanden. De klok tikt onverbiddelijk door.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in