Uw AVG-traject (Algemene Verordening Gegevensbescherming) beginnen met Okta

Inleiding

Organisaties die consumenten bedienen, beheren sinds lange tijd identiteitsdata van klanten. Ze bewaren gevoelige data variërend van klantnamen tot creditcardnummers en woonadressen. Vanwege een toenemend aantal datalekken, groeiende zorgen omtrent privacy en veelvuldig misbruik van data, hebben wetgevers besloten om strikte eisen te stellen aan het gebruik van data. In de Europese Unie was de Algemene Verordening Gegevensbescherming (AVG) de eerste stap om nieuwe normen te bepalen voor de bescherming van persoonsgegevens. Om te blijven voldoen aan de wetgeving voor gegevensbescherming moeten organisaties nu opnieuw bekijken hoe zij hun IT-infrastructuur toekomstbestendig maken en dit dient op directieniveau te gebeuren.

Deel I: AVG en zakelijke gevolgen

Het centrale concept van de AVG is in algemene zin dat personen eigenaar zijn van hun eigen data. Dit concept kan op verschillende manieren tot uiting komen, bijvoorbeeld door personen in staat te stellen om te bekijken welke data ondernemingen over hen hebben verzameld of hen de mogelijkheid te bieden om persoonsgegevens te laten verwijderen. In deze tijd van strikte privacyvoorschriften en hoge boetes is binnen IT-infrastructuren een andere benadering van compliance vereist.

Vanwege de toename van grote datalekken, bijvoorbeeld bij Marriott en Panera Bread in 2018, is nieuwe regelgeving inzake gegevensbescherming zoals de AVG geïntroduceerd ter bescherming van persoonsgegevens. Steeds meer mensen zijn zich bewust van dergelijke lekken, wat het vertrouwen van de klant en het klantsentiment heeft geschaad, en tot omzetdalingen heeft geleid bij de betrokken organisaties. Volgens IBM heeft 46% van de organisaties reputatieschade en verlies van merkwaarde opgelopen als gevolg van vertrouwensbreuken. Daarnaast kunnen overtredingen van de AVG leiden tot boetes van € 20 miljoen of 4% of van de wereldwijde omzet. Vanaf nu moeten organisaties zorgvuldig nieuwe maatregelen en processen implementeren om op efficiënte wijze te voldoen aan deze regelgeving.

De Ierse Data Protection Commission en toekomstige handhaving

De Ierse Data Protection Commission (DPC), de nationale onafhankelijke instantie die verantwoordelijk is voor het beschermen van de fundamentele rechten van personen in de EU met betrekking tot hun persoonsgegevens, heeft zijn inspanningen voor het handhaven van de AVG vergroot. In oktober 2018 had de DPC 80 onderzoeken naar overtredingen van de AVG geopend, waaronder een statutair onderzoek naar de naleving van relevante bepalingen van de AVG door Facebook.

Deel II: Zorg dragen voor compliance

Omdat de DPC en andere vergelijkbare toezichthouders voor gegevensbescherming de AVG strenger handhaven, moeten IT-managers zorgen dat zij klaar zijn om de regelgeving na te leven. Wanneer organisaties eenmaal aan de regels voldoen, kan het evenwel lastig zijn om deze te blijven naleven. De waarheid is dat naleving van de AVG een doorlopend traject is met verschillende compliancefasen.

 

Looptijd AVG

 

Fase 1: organisaties die nog niet aan het compliancetraject zijn begonnen

Toen de AVG in mei 2018 van kracht werd, hebben de meeste organisaties getracht om de nieuwe regels zo snel mogelijk te implementeren. Er zijn evenwel veel organisaties die niet beseffen dat de AVG ook voor hen geldt. Deze organisaties bevinden zich in “fase 1”.

Volgens artikel 3 van de AVG moet een organisatie aan de AVG voldoen indien het:

  • een verwerkingsverantwoordelijke of een verwerker in de EU is;
  • goederen en diensten aanbiedt aan betrokkenen in de EU; of
  • het gedrag van betrokkenen in de EU controleert.

De AVG geldt ook voor organisaties die mogelijk niet verwachten onder buitenlandse wetgeving te vallen, omdat artikel 3 van de AVG zodanig is verwoord dat de verordening van toepassing is op een grote verscheidenheid aan organisaties: organisaties die dienstverleners zijn, goederen of diensten aanbieden aan betrokkenen in de EU of het gedrag van betrokkenen in de EU "controleren". Bovendien is de definitie van persoonsgegevens in de AVG zo breed dat diverse datatypen eronder vallen, van socialmediaberichten tot creditcarddata die worden verkregen bij het boeken van een vlucht. Omdat deze definitie van persoonsgegevens zoveel data omvat, weten organisaties vaak niet zeker of hun gebruik van data er ook onder valt. Daardoor beseffen talloze organisaties niet dat de AVG ook voor hen geldt en dat zij aan deze wetgeving moeten voldoen.

Fase 2: organisaties die handmatige complianceprocessen gebruiken

Organisaties in deze fase van het compliancetraject zijn organisaties die weten dat de AVG voor hen geldt en zorg dragen voor compliance met handmatige processen. Afhankelijk van het type organisatie kan dit leiden tot een overmatige besteding van IT-, juridische, ondersteunings-en technische resources aan compliance en problemen met de handmatige configuratie van verschillende systemen. Volgens Forbes is in