EU-gegevensbescherming: een kwelling of net een enabler voor de CIO?
Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Hoog tijd voor organisaties om GDPR bovenaan de agenda te zetten.
Je kan op verschillende manieren naar deze vernieuwde GDPR-regelgevingen kijken. De reacties bij organisaties zijn uiteenlopend en variëren van paniek tot onverschilligheid. Maar, bij sommige IT-leiders is er het besef dat dit de ultieme gelegenheid is om langverwachte projecten uit te rollen en ROI op technologie-investeringen te vergroten. Deze visie delen we dan ook bij Spikes.
De meeste organisaties, en in het bijzonder de CIO, zien de GDPR met zekere ongerustheid en gelatenheid tegemoet. Ongerustheid omdat de GDPR een aantal redelijk ingrijpende mandaten voorstelt die data van klanten, leveranciers en medewerkers (binnen de EU) veilig moeten stellen. Mensen krijgen de controle over hun eigen data en bovendien ben je verplicht om uitgebreid te informeren over het gebruik van deze gegevens. De gevolgen, indien niet compliant, zijn helaas groter dan wat schaamrood op de wangen. Er worden hoge financiële boetes toegepast bij nalatigheid, die kunnen oplopen tot wel 4% van de jaarlijkse omzet van een onderneming. Gelatenheid omdat de hervormde EU-wetgeving zorgt voor veel meer verantwoordelijkheden en zo ook werk voor de CIO. Tegen 25 mei 2018, moeten hun organisaties GDPR-compliant zijn. Ze moeten dus alle beschikbare middelen en mensen inzetten om te voldoen aan de operationele en wettelijke vereisten van de GDPR om zo in de toekomst een eventuele GDPR-audit te overleven.
Maar we kunnen ook op een andere manier naar de GDPR kijken, niet als een drempel maar net als een kans. Een kans om IT van noodzakelijke nieuwe middelen en tools te voorzien. Een kans om je informatiebeveiliging & databeheer te analyseren en te verbeteren, om een grote sprong te maken in het transformatieproces dat verder gaat dan de eisen van de GDPR, en om iets op te bouwen dat je kunt schalen voor de toekomst? Misschien is het wel de ideale hefboom om veranderingen die al te lang op zich laat wachten door te voeren… de enabler voor dit alles: Microsoft technologie?
Een nieuwe wind, geen orkaan
Staatssecretaris De Backer verwoordt het helder: “ De nieuwe privacywet is een nieuwe wind en geen orkaan. Het is een opportuniteit voor de bedrijven om zich te bezinnen over hoe ze data bijhouden, hoe ze die gebruiken en hoe het staat met de bescherming ervan.”
De veranderingen die de GDPR van bedrijven en hun databeheer vraagt is aanzienlijk. Dat er kritisch naar gekeken wordt, en zeker naar het kostenplaatje, is niet meer dan logisch. Wanneer er kwaadwillend met data van klanten wordt omgesprongen kan dit zeker verstrekkende gevolgen hebben. Maar is het niet iets waarvan je als onderneming ook oprecht wilt dat het in orde is? Dat (data van) jouw klanten en medewerkers altijd veilig zijn?
GDPReady voor verandering?
De vernieuwde regelgeving rond privacy- en databescherming is in functie van de bescherming van het individu in deze digitale economie te versterken, het vertrouwen te winnen en zo meer business te genereren voor alle bedrijven. Dus wanneer je de GDPR enkel ziet als een vervelende regulering van de Europese bureaucratie, mis je de transformationele kans. Het is een voorbode van sociale, culturele en economische verandering die van bedrijven eist dat ze het beheer van data op een nieuwe wijze gaan zien. Namelijk in de context van een geëmancipeerde, wereldwijde digitale samenleving waar de mensen terug zeggenschap krijgen over hun gegevens.
Know your business
Wanneer je als CIO binnen een onderneming of instelling toch deze uitdaging moet aangaan, is de GDPR de uitgelezen kans om de datastromen en processen binnen jouw organisatie volledig in kaart te brengen. Hierdoor creëer je kansen om inzichten te bekomen over het gedrag van medewerkers, leveranciers en (potentiële) klanten en de technologieën die hierbij aan bod komen.
Probeer hier dus in de eerste plaats de bedrijfsstructuren van je onderneming goed in kaart te brengen. Bekijk kritisch welke data er voorhanden zijn, waar ze worden opgeslagen en op welke manier ze worden gebruikt (en dus ook misbruikt kunnen worden). Vergeet hier zeker je ongestructureerde data (documenten, excel files, etc…) niet. Ook die kunnen persoonsgebonden data bevatten, en vallen onder de regelgeving. Stel je maar eens voor dat iemand ongewild een Excel bestand met persoonsgebonden data mailt naar een ongeautoriseerde bestemmeling! Maak verder een onderscheid tussen de verschillende bedrijfsprocessen en begrijp de onderlinge uitwisseling van gegevens. Zo kan je dus nagaan op welke manier data beter kunnen ingezet worden binnen de grenzen van de nieuwe wetgeving… En welke processen beter kunnen, maar vooral hoe dit in het grotere ‘transformatie’ plaatje past. Voor bedrijfsprocessen kan gedacht worden aan: Finance/Accounting, HR, Operations, Sales, Marketing, IT, Legal, … De verscheidenheid aan processen zal variëren naargelang de grootte van je onderneming.
Daarnaast is het is ook belangrijk om de cultuur van je organisatie in kaart te brengen, hoe wordt er omgegaan met data. Daar zal immers de grootste verandering plaatsvinden: de GDPR is echt een culturele verandering over hoe organisaties met persoonsgegevens moeten omspringen. Hoe een organisatie aan persoonsgegevens komt, hoe ze deze moeten bewaren, bewerken, beschermen, doorgeven en weer verwijderen. Complete bedrijfsprocessen zullen op de schop moeten. De GDPR is dus absoluut niet enkel en alleen van toepassing voor de IT-afdeling, maar voor iedere medewerker die op wat voor manier dan ook in aanraking komt met persoonsgegevens. De juiste technologie en tools kunnen hierin niet alleen bijstaan, maar ook een echte cultuurverandering afdwingen.
De GDPR als katalysator voor innovatie
De conclusie: Dit is hét moment voor de CIO om gegevensbescherming te gaan integreren in hun strategie, processen, structuur en bedrijfscultuur. Het is een taak die de CIO niet alleen kan waarmaken – iedereen in de organisatie heeft hier een rol te spelen. Maar dan wel ondersteund door een passende strategie, ingerichte processen en de juiste mind set. Met de GDPR als katalysator voor (deze) nieuwe investeringen.
Naast een strategische organisatieverandering zullen bedrijven ook de juiste tools nodig hebben in de ondersteuning van hun compliant databeheer. Dit betekent echter niet noodzakelijkerwijs de vervanging van alle bestaande infrastructuur. Er zijn oplossingen nodig die flexibel en aanpasbaar zijn, om bedrijven te laten aanpassen en evolueren. De GDPR zal bedrijven voor het eerst dwingen naar een realistische roadmap om van elke werkplek een ‘secure modern workplace’ te maken. Natuurlijk zullen nieuwe regelgevingen altijd een culturele verschuiving in de bedrijfswereld veroorzaken. Maar GDPR zal een van de eerste zijn die eindelijk echt wereldwijd gevolgen heeft.
25 mei, een nieuw begin
Bekijk 25 mei niet als het eindpunt, maar als een nieuw begin. Het begin van een totaal nieuwe kijk op privacy en hoe we er binnen een organisatie met omgaan. Privacy is volgens ons een fundamenteel recht. En we geloven dat de GDPR een belangrijke stap voorwaarts is richting duidelijkheid over individuele privacyrechten, en richting het naleven ervan. Maar we zien ook dat het GDPR traject voor de CIO een significante uitdaging betekent. Wij helpen je graag deze te overwinnen. Laat je bijstaan door Spikes en contacteer ons via onderstaand formulier voor een heldere assessment van jouw databeheer, een realistische aanpak en de juiste tools om ook van jouw werkplek een ‘secure modern workplace’ te maken.