Is uw organisatie nog niet AVG-compliant? Dan bent u niet de enige. De deadline om te voldoen aan de Algemene verordening persoonsgegevens inmiddels al enige tijd is verstreken. Toch hebben zelfs de autoriteiten moeite om aan de nieuwe Europese privacywetgeving te voldoen. Zo is de Belastingdienst pas op z’n vroegst in 2019 compliant. En waren na het verstrijken van de deadline tien van de twaalf ministeries nog in overtreding. Afhankelijk van de cijfers die u aanhoudt, voldoet 60 en 90 procent van de overige bedrijven nog niet aan de AVG.
Heel gek is het niet dat nog zo weinig bedrijven aan alle AVG-eisen voldoen. De inhoud van de verordening was bij het verstrijken van de compliance-deadline nog maar twee jaar bekend. Een tijdsperiode die vooral voor grotere organisaties niet toereikend is om de benodigde ingrijpende veranderingen door te voeren. Daar komt nog eens bij dat de AVG met name op het gebied van databeveiliging geen specifieke eisen stelt. Hierdoor is niet altijd duidelijk wat u als organisatie moet doen om compliant te zijn. Dat neemt niet weg dat u wel degelijk een goed begin kan maken om een AVG-proof organisatie te worden.
Bewustzijn in de boardroom
Veel bedrijven gaan pas over het voorkomen van datalekken nadenken als het al te laat is. Als ze geconfronteerd worden met enorme schadeclaims. En met bijbehorende eigen imagoschade. Ter illustratie: volgens HCSS-cijfers over 2017 (pdf) resulteerde cybercrime in Nederland tot een schade die gelijkstaat aan 1,5 procent van het bruto nationaal product. Tegelijkertijd werd er minder dan 0,1 procent geïnvesteerd in digitale security.
Wat dat betreft is de nieuwe Europese privacyverordening een geschenk uit de hemel. Tenminste, als u het onderwerp informatiebeveiliging in de boardroom op de kaart wil krijgen. Waar bovenstaande cijfers van HCSS wellicht nog wat abstract zijn, is het bij de AVG namelijk wél duidelijk wat de directe gevolgen kunnen zijn voor het bedrijf. Het niet voldoen aan de AVG kan immers leiden tot boetes die dusdanig hoog zijn dat ze de continuïteit van het bedrijf in gevaar brengen.
Duidelijke visie op informatiebeveiliging
Maar met alleen de directie die bereid is om budget beschikbaar te stellen voor een investering in securitytechnologie bent u er nog niet. Elke IT’er weet het. Niet technologie, maar mensen zijn de grootste uitdaging als het gaat om cybersecurity. U kunt de boel nog zo goed dichttimmeren met beveiligingstechnieken – er is uiteindelijk maar één per ongeluk doorgestuurde mail voor nodig om een datalek te veroorzaken. Informatiebeveiliging is met andere woorden niet alleen de verantwoordelijkheid van IT, maar moet gedragen worden door de gehele business.
Het is daarom belangrijk dat er in uw organisatie een heldere visie is op privacy en security en die te vertalen in duidelijke richtlijnen die de organisatie kan volgen. Callcentermedewerkers kunnen bijvoorbeeld te maken krijgen met een situatie waarin een klant belt met het dringende verzoek om zijn betaalgegevens naar een andere e-mailadres dan normaal te sturen. Daardoor komen zij in een dilemma: moeten ze klant goed helpen of veiligheid voor laten gaan? Met duidelijke richtlijnen, bijvoorbeeld door een klant in zo’n geval door te sturen naar een manager, kunt u werknemers helpen om de juiste keuze te maken.
Gespecialiseerd AVG-team
Dat datasecurity door de hele organisatie gedragen moet worden, neemt trouwens niet weg dat het verstandig is om één of een aantal mensen verantwoordelijk te maken voor dit onderwerp. Gedeelde verantwoordelijkheid, zeker als die door hele organisatie wordt gedragen, leidt namelijk al snel tot niemands verantwoordelijkheid. Stel daarom een team samen dat alles weet over privacy en informatiebeveiliging, aangevoerd door een al dan niet extern ingehuurde functionaris gegevensbescherming (fg) of chief information security officer (ciso).
Uw nieuwe privacy- en datasecurityteam kan de verschillende risico’s inventariseren. En in kaart brengen welke impact verschillende soorten datalekken op de organisatie hebben. Dit zijn ook de mensen die ervoor moeten zorgen dat datasecurity op de lange termijn niet ondersneeuwt door de waan van de dag. Bijvoorbeeld door de kwaliteit te blijven waarborgen. Dit, aan de hand van ISO-standaarden en het toepassen van de Deming-circle.
Stap in de goede richting
Een groot aantal bedrijven is nog niet AVG-compliant. Toch heeft de Autoriteit Persoonsgegevens vooralsnog nog geen boetes uitgedeeld. Maar de organisatie geeft ook aan dat dit waarschijnlijk een kwestie van tijd is. De boodschap die ze daarmee afgeeft is duidelijk. Iedereen zal vroeg of laat aan de nieuwe privacyverordening moeten voldoen. Met alleen het verhogen van het bewustzijn. En met het opstellen van een visie over privacy en informatiebeveiliging bent u zover nog niet. Maar zet u wel vast een stap in de goede richting.
Philippe den Arend, consultant bij Traxion
