In mei 2018 wordt de GDPR, in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), van kracht. U heeft er vast al over gelezen of gehoord. Het is een taai onderwerp dat de meeste managers het liefst snel van zich af schuiven. En dat snap ik goed, want de insteek wordt al snel heel juridisch of heel technisch. Terwijl het eigenlijk gaat om de klant!
Cultuur misschien belangrijker dan techniek
Ik hou de mensen in onze organisatie daarom voor: als je in alles wat je doet je klant als uitgangspunt neemt, dan ben je al een heel eind. Natuurlijk moeten wij als hosting en cloud dienstverlener op technisch gebied veel regelen. Dat doen we ook. Maar ik zeg ook tegen onze medewerkers: als we denken en handelen vanuit het klantbelang en niet vanuit ons eigenbelang of vanuit interne regels en procedures, dan zijn we een heel eind. Misschien is een klantgerichte cultuur op dit gebied wel waardevoller dan het in huis hebben van alle processen en techniek om de privacy goed te beschermen.
Welke rechten heeft de klant?
Wat moet je eigenlijk regelen in het kader van de nieuwe wet? Allereerst: het meeste wat in de wet staat is niet nieuw, het borduurt voort op de bestaande Wet Bescherming Persoonsgegevens en de Wet Meldplicht Datalekken. De GDPR of AVG geeft klanten nog wat meer rechten:
- het recht op inzage van hun gegevens;
- op correctie en zelfs verwijdering van die gegevens (mits er geen bewaarplicht is voor de leverancier, zoals bijvoorbeeld voor zorginstellingen en financieel dienstverleners het geval kan zijn);
- het recht op dataportabiliteit.
Techniek, processen en vertrouwen
En ja, een deel hiervan is techniek. Als een klant afscheid van ons wil nemen en zijn gegevens mee wil nemen, dan zijn wij verplicht om die gegevens aan te leveren in een formaat waar een andere dienstverlener wat mee kan. Daar zullen we daarom vanaf mei 2018 met klanten afspraken over maken: op welke manier leveren wij die gegevens aan? In welk formaat? En leveren we die gegevens aan de klant, of aan de nieuwe leverancier die de dienstverlening gaat overnemen?
Een deel heeft te maken met processen. Je moet inzichtelijk hebben in welke systemen je klantdata opslaat, hoe de dataflow door de organisatie is, wie toegang heeft tot welke data et cetera. Je moet regelen dat medewerkers alleen de data zien van de klanten waar zij voor werken, en daar komt ook weer wat techniek bij kijken.
Tot slot heeft de GDPR te maken met vertrouwen. Want als de klant vraagt om verwijdering van zijn gegevens uit onze systemen, hoe zouden we dat dan duidelijk moeten maken? Hoe kunnen wij bewijzen dat we nergens meer iets over hem of haar hebben staan?
Iedere klant vraagt andere zekerheden
Als we met klanten praten over zaken als privacy en security, dan merken we dat ze daar verschillend in staan. De ene klant wil onze certificaten en assurance rapporten zien. De ander wil kennismaken met de mensen die hun dienstverlening gaan verzorgen. Een derde wil weten welke preventieve maatregelen we ‘in place’ hebben voor het geval dat het mis gaat. Wij denken niet dat het of-of is, maar en-en. Je moet goede processen ontwerpen vanuit de gedachte ‘privacy by design’. Die processen moet je regelmatig laten auditen.
De processen worden ondersteund door technologie. Die zorgt er mede voor dat medewerkers niet makkelijk de fout in kunnen gaan. Bijvoorbeeld door met rollen en rechten af te schermen wie welke data mag inzien en gebruiken. En ja, je moet er ook op voorbereid zijn dat er ooit eens een keer wat mis gaat. Mensen kunnen nu eenmaal fouten maken. Maar als er een open bedrijfscultuur is waarbij iedereen altijd denkt en handelt vanuit het klantbelang, dan is het voor medewerkers ook niet moeilijk om die fout toe te geven en direct te herstellen.
Voldoen aan de GDPR: vergeet de cultuur niet
Als u bezig bent zich voor te bereiden op de GDPR – en ook als u nog probeert het onderwerp te ontwijken – dan heb ik vanuit mijn vakgebied als Risk Manager en Business Assurance Manager één advies: vergeet de bedrijfscultuur niet. Want als die niet klantgericht is zijn de risico’s van datalekken een stuk groter, welke technische maatregelen u allemaal ook neemt.
Frank Westerdaal, Business Assurance Manager / Risk Manager bij KPN Internedservices
