Dat er specifieke software bestaat om je bedrijfsvoering GDPR-compliant te maken, is velen onbekend. Kan nochtans handig zijn voor ondernemingen die aan de vooravond van 25 mei 2018 nog steeds het Olympisch minimum niet hebben gehaald. Bloovi sprak met Thierry De Vos, Business Manager Compliance Software bij Wolters Kluwer Belgium. “Gewoon aantonen dat je een GDPR-beleid aan het implementeren bent, volstaat niet bij een audit of inspectie. Je moet de nieuwe wet- en regelgeving ook kunnen borgen. Door de juiste software te implementeren, wordt dat zeer eenvoudig. Je weet altijd of jouw bedrijf voldoet aan de GDPR en kan dit in slechts enkele muisklikken ook aantoonbaar maken.”
Snel en makkelijk aantoonbaar
“Wetende dat het toch vrij complexe materie is en veel bedrijven niet weten waar te beginnen, dien je de GDPR Compliance software vooral te zien als een handige leidraad op weg naar een gestructureerd GDPR-beleid. Doordat het een welgekomen houvast biedt, heeft het een drempelverlagend effect op bedrijven die niet weten hoe de koe bij de horens te vatten”, zegt Thierry De Vos die meteen ook de voordelen opnoemt: “Ten eerste word je als gebruiker stapsgewijs begeleid: eenvoudige templates helpen je bij elke wettelijke verplichting zoals een dataregister opstellen, het melden van datalekken, vragen van betrokkenen verwerken,…”
“Een tweede belangrijk voordeel is dat je altijd en overal het overzicht behoudt: dankzij de software, die alles met elkaar linkt, weet een bedrijf meteen wat zijn huidige status inzake GDPR-compliancy is. Dat is niet onbelangrijk aangezien Europa in de komende periode nog wel een en ander gaat veranderen aan haar privacywetgeving. Dankzij de software blijf je op elk moment op de hoogte van de nodige acties, met daaraan gekoppeld de juiste deadlines en verantwoordelijken.”
“En in geval van controle kan het bedrijf op een heel eenvoudige manier aantonen dat het GDPR-compliant is. Of dat het al heel wat stappen in richting compliancy heeft gezet. Kortom, de software maakt het allemaal heel transparant, voor iedere partij die daarbij betrokken is.”
Dataregister en risicoanalyse
De Vos noemt het een all-in-one oplossing voor je GDPR beleid. “Neem nu het aanmaken van een dataregister. Via onze software kan dat door gewoon stap voor stap de velden van de juiste template in te vullen. Op die manier worden alle dataflows gecentraliseerd en krijg je een volledig overzicht van de verschillende data processen binnen je organisatie. Zo’n dataregister laat zien over welke gegevens een bedrijf beschikt, waar die data zich bevinden, wie daar allemaal toegang tot heeft, wat daar mee gebeurt, hoe die worden beheerd en welke procedure men dient te volgen wanneer een datalek wordt vastgesteld.”
“De manier waarop en mate waarin er toegang wordt gegeven tot de data is uiteraard zeer contextafhankelijk, maar je merkt toch dat er al snel heel veel mensen bij zo’n GDPR-project betrokken zijn”, merkt hij op.
“Op basis van de ingevulde templates zal de software jouw risico’s op datalekken inschatten en daar meteen de juiste acties, deadlines en verantwoordelijken aan koppelen. Zo voorkomt het bedrijf dat het zijn data processen moet aanpassen of - erger nog - een project abrupt dient stop te zetten.”
Datalekken melden
Het melden van een datalek aan de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie) is trouwens enkel verplicht wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In dat geval dient de melding te gebeuren binnen de 72 uren na kennisname van het lek door de verwerkingsverantwoordelijke.
Maar hoe doe je dat nu eigenlijk, zo’n datalek dichten? Ook daarvoor brengt de software soelaas. “Omdat hij elk datalek registreert en dit meteen op de juiste manier meldt aan de bevoegde instanties”, legt Thierry De Vos uit. “Tegelijk gaat die de nodige acties toewijzen en deadlines instellen. Hij zorgt er met andere woorden voor dat je een volledig overzicht hebt van alle datalekken en helpt je om die in de toekomst te voorkomen.”
“De software voorziet je van allerlei overzichten en handige dashboards om te weten: hoever sta ik, wat zijn de werkpunten en waar moet ik mijn prioriteiten leggen? Bij het ingeven van je dataregister krijg je op het dashboard rode, oranje en groene signalen te zien: rood betekent dat een dataproces onmiddellijk moet aangepakt worden, bij oranje kan dit na 25 mei ingepland worden, en groen wil zeggen dat er geen vuiltje aan de lucht is. Sommige data processen kunnen na verloop van tijd perfect van rood naar groen veranderen. Maar er zijn ook dataprocessen die altijd op rood zullen staan en permanente aandacht vragen, zoals persoonsgegevens van min 16-jarigen. Dan moet je echter nog kunnen aantonen dat dit in de positieve zin evolueert: bijvoorbeeld dat een restrisico van 16% na verloop van tijd nog maar 10% is.” Om die reden kunnen bedrijven verplicht worden een data protection impact assessment - afgekort tot DPIA - uit te voeren. Dat is een verplicht hulpinstrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen.”
Data subject rights
Wat veel bedrijven niet weten, is dat ze vanaf 25 mei verplicht zijn correct te reageren op alle mogelijke vragen van data subjects. “En zij die zich daar wel van bewust zijn, hebben vaak geen benul van hoe ze dit op een efficiënte manier kunnen aanpakken. Onze GDPR Compliance software laat bedrijven toe om daar heel accuraat op te reageren, door alle vragen van betrokken partijen te beheren. Stel dat je feedback krijgt van alle verantwoordelijken binnen je organisatie, dan gaat de software die samenvoegen in één rapport waardoor je niet meer hoeft te zoeken in je mailbox. De GDPR Compliance software maakt een rapport op en bundelt alle feedback in één antwoord die jij kan terugkoppelen naar de vraagsteller.”
People, Process & Technology
De hele menselijke inbreng blijft absoluut nodig, benadrukt Thierry De Vos. “In een GDPR-project is het altijd een combinatie van people, process en tools: naast de processen die wij neerzetten en de tool die wij aanleveren, heb je nog altijd mensen nodig om het te gaan implementeren: experts die daar met een getraind kennersoog naar kijken.”
.png)
Met de GDPR compliance software kan je een audit doen om je maturiteit ten opzichte van de wetgeving te meten. “Maar de gap analyse gebeurt nog altijd door een specialist, bijvoorbeeld een Data Protection Officer (DPO) die de gaps gaat aanduiden en aangeeft wat er naar de toekomst toe allemaal nog dient te gebeuren.”
“Want”, waarschuwt Thierry De Vos, “men mag het GDPR-compliant zijn zeker niet beschouwen als een momentopname, het is iets wat ze ook na het verstrijken van de deadline moeten blijven beheren, aantonen en borgen. En regelmatig jezelf auditeren: zijn mijn dataprocessen nog conform de GDPR-wetgeving, is een vraag die elk bedrijf zich continu moet blijven stellen.”
“Alles wat bedrijven in aanloop naar 25 mei 2018 ondernemen, is niet meer dan een start. Om aan te tonen dat ze een GDPR-beleid aan het implementeren zijn en al een bepaald niveau hebben bereikt. Maar tegelijk moet je ook kunnen aantonen dat je daarin groeit en er telkens verbetering merkbaar is.”
Software steeds belangrijker
Na 25 mei zal de noodzaak om GDPR Compliance software te implementeren alleen nog maar toenemen, meent De Vos “Uiteraard niet voor bedrijven met twee dataprocessen, die hebben dergelijke software niet nodig. Wel voor grote corporates die redelijk veel dataprocessen hebben, die investeren in een CRM, aan marketing doen, een groot aantal mensen tewerkstellen en een uitgebreid cliënteel hebben. Doordat zij te allen tijde in staat moeten zijn om adequaat te reageren op vragen van klanten of consumenten, zullen zij ook na het in voege treden van de GDPR de software meer dan nodig hebben. En aangezien de stap van een uitgebreide informatieronde naar het effectief implementeren van software best groot is, zijn veel klanten vragende partij om hen te gidsen doorheen het GDPR-parcours dat ze moeten afleggen.”
