Een halve maand na de invoering van GDPR en nu?

Het begon allemaal in 2012 toen de Europese Commissie een hervorming van de databeveiligingsregels uit 1995 voorstelde. En toen na al die gesprekken, commentaren, adviezen en debatten werd het 25 mei en nu?

Effect van de GDPR

Er is in de aanloop naar de invoering van GDPR geen gebrek geweest aan informatie over wat burgers en bedrijven kunnen verwachten van de nieuwe wet. En die enorme hoeveelheid literatuur was gerechtvaardigd

Van GDPR wordt verwacht dat het een grote impact heeft op alle organisaties die persoonlijke gegevens van EU-burgers verwerken en opslaan. In de huidige, grenzeloze, digitale wereld betekent dat dat bedrijven buiten Europa ook met de nieuwe wet te maken hebben. Sterker nog, elk bedrijf dat een Europese partner heeft, moet nu rekening houden met de GDPR. Zelfs na de Brexit (waarschijnlijk de enige meer besproken kwestie dan de GDPR). Het Verenigd Koninkrijk moet zich namelijk nog steeds aan dezelfde regels houden, ook al horen ze straks niet meer bij de EU.

En al lijkt het wat stiller geworden, na de enorme lawine van emails van een diversiteit aan bedrijven over jouw privacy (hoezo GDPR) en de weken en dagen voor 25 mei, het is onverstandig om de regels te negeren, want de boetes zijn enorm en kunnen oplopen tot wel 4 procent van de jaarlijkse wereldwijde omzet of 20 miljoen euro (afhankelijk van welke van de twee hoger is). Nu de wet definitief is ingevoerd, is het daarom nog steeds  verstandig om na te gaan of jouw bedrijf nu echt voldoet aan de wet. Of je riskeert een hoge boete.

Met de achtergrond van de wet en de boetes in ons achterhoofd, zetten we hieronder vijf zaken op een rij waar je op moet letten.

  1. Breng iedereen in het bedrijf op de hoogte

Als voorbereiding op de wet hebben enkele bedrijven databeschermingsmedewerkers aangenomen die alle zaakjes op orde brengen.

Hoewel sommige organisaties er een beetje laat bij zijn, is dit slim om te doen. Het is handig om een specialist in huis te hebben. Tegelijkertijd kan hij of zij ook gelijk de GDPR-kar trekken en de hele organisatie op de hoogte houden van ontwikkelingen. En nog belangrijker: zo iemand kan aanbevelingen doen voor welke tools nodig zijn voor het back-uppen van data in het geval van een cyberaanval.

Maar zelfs organisaties die geen speciale medewerkers hebben aangenomen, moeten onthouden dat de GDPR het hele bedrijf aangaat. Dit betekent dat alle belangrijke betrokkenen en managers goed weten wat de nieuwe privacywet inhoudt en hoe de GDPR hun eigen processen beïnvloedt.

  1. Laat een data-audit uitvoeren

Daarnaast moet elk bedrijf weten welke persoonlijke gegevens ze bezitten, waar en hoe ze deze opslaan en waar deze vandaan komen. Ook moet je aan de lokale handhavingsinstanties kunnen vertellen waarom je bepaalde gegevens bewaart en hoe je ze verzamelt.

Als jouw bedrijf deze vragen niet kan beantwoorden, is het tijd om snel op zoek te gaan naar de antwoorden. Nu de invoering van de wet een feit is, moet je laten zien dat je alle gegevens legaal hebt verzameld en ze juist opslaat. De autoriteiten zullen niet zachtaardig zijn voor bedrijven die niet in staat zijn om hun data op de juiste manier te beveiligen en daardoor datalekken veroorzaken. De boetes zijn niet mals. Binnenkort zullen er genoeg voorbeelden zijn die dat bewijzen.

  1. Weet welke privacyrechten burgers hebben

Een van de grootste veranderingen die de GDPR met zich heeft meegebracht, is dat burgers meer rechten krijgen over hun gegevens. Google ontving bijvoorbeeld de laatste drie jaar 2,4 miljoen aanvragen tot verwijdering van zoekmachineresultaten. Dat cijfer zal heel snel stijgen als mensen hun recht ‘om vergeten te worden’ beter begrijpen en het opeisen.

Verder kunnen burgers nu toegang krijgen tot hun gegevens en deze opvragen bij bedrijven, in een bestandsformaat dat zij zelf kunnen lezen. Om geen kostbare tijd te verliezen, is het handig om de locatie van alle data te registreren. Op die manier kun je gegevens makkelijk vinden als ze worden opgevraagd. Kortom: een kleine verandering die veel problemen voorkomt.

  1. Wees voorbereid op datalekken

Volgens de nieuwe wet moeten bedrijven datalekken binnen 72 uur na ontdekking melden. Dat is niet lang, vooral wanneer je weet dat de uren na een datalek een drukke tijd is met veel verschillende onderzoeken en pogingen om de schade te beperken.

Het is daarom belangrijk dat de plannen al in de kast liggen om een eventueel datalek op te sporen, te rapporteren en op te lossen. Aanvullende rapportagesoftware kan hierbij helpen. Dergelijke tools geven duidelijkheid over de bewaarplaatsen van de back-upbestanden en besparen tijd bij het rapporteren over compliance. En als gegevens niet meer beschikbaar zijn vanwege malware, kan recovery-software de data snel weer terughalen.

  1. Blijf je plannen en systemen verbeteren

Een vastgesteld plan is verstandig, maar laat ook ruimte voor verbeteringen. Vooral op het gebied van beschikbaarheid, kwaliteit en de veiligheid van gegevens. Data wordt namelijk steeds waardevoller.

Het is onvermijdelijk dat het digitale landschap in de komende jaren weer verandert. Misschien zelfs meer dan in de afgelopen tien jaar. Daarom is het essentieel dat bedrijven mee kunnen bewegen met de technologie. Eén ding is in ieder geval zeker: de discussie rondom de GDPR is na 25 mei echt niet afgelopen, maar lijkt net pas begonnen.

Wilt u meer weten over GDPR, tijdens VeeamOn Tour zal Serge Robe, Product Management Director een sessie verzorgen over de invoering van GDPR en de gevolgen. U kunt zich nog inschrijven op http://vee.am/vot-benelux  . Naast de presentatie over GDPR, kunt u ook luisteren naar verschillende presentaties over Office365, over AWS en wordt de dag afgesloten door Ben van der Burg, voormalig langebaan schaatser en tegenwoordig expert op het gebied van digitale transformatie.

Dit is een ingezonden bijdrage van Veeam. Via deze link vind je meer informatie over VeeamON.