48 Procent van de managers, die onlangs bij een enquête hierover ondervraagd zijn, verwacht dat hun bedrijf niet op tijd klaar zal zijn voor deze nieuwe wetgeving.

Dat zou zorgwekkend zijn, want vanaf 25 mei 2018 gelden er niet alleen strenge regels: wie zich er niet aan houdt, kan ook flinke sancties verwachten.

Waarom hebben de managers de verwachting dat hun bedrijf niet klaar zal zijn? De deelnemers aan het onderzoek antwoorden vooral dat de juiste technologie ontbreekt. De helft van de geënquêteerden geeft aan dat het nauwelijks mogelijk is om precies aan te geven of data nu juist opgeslagen of juist gewist moet worden. Daarna ontstaan er problemen rondom persoonsgegevens en hoe bedrijven deze data snel beschikbaar kunnen stellen.

Een positieve noot: Deze problemen kunnen met de hulp van een passende strategie voor datamanagement, naast ingerichte processen en tools, op tijd worden opgelost. Juist ook bij bedrijven met complexe IT-structuren en een hoog cloud gehalte. Hiervoor moeten dan wel vijf centrale thema's worden ingericht:

Lokaliseren

Een bedrijf moet overzicht hebben waar persoonsgegevens binnen de organisatie wordt opgeslagen. Een datakaart helpt hierbij. Met name geldt dit voor persoonsgegevens die opgeslagen zijn in de cloud. Zie er op toe dat het rekencentrum gevestigd is binnen de EU of, indien deze zich buiten de EU bevindt, zich wel houdt aan de regels van de AVG.

Zoeken

EU-burgers hebben het recht tot inzage in de over hen opgeslagen data en hebben het recht deze gegevens snel in te zien. Het is daarom belangrijk processen en software in te richten waarmee gegevens snel te vinden en eventueel te wissen zijn.

Beperken

Een van de doelen van de AVG is ervoor te zorgen dat bedrijven alleen persoonsgegevens daar bewaren waar ze ook nuttig zijn. Daarom zou elk bestand een einddatum moeten krijgen zodat deze na vervaldatum (afhankelijk van het doel) automatisch wordt gewist.

Beschermen

Vanzelfsprekend, maar heel belangrijk, persoonsgegevens moeten goed beveiligd zijn. Bedrijven moeten maatregelen nemen om interne en externe aanvallen af te kunnen slaan. Als er toch iets gebeurt moet het datalek binnen 72 uur gemeld worden. En daarmee komen we tot het laatste punt.

Screenen

Om een datalek te kunnen melden, moet je natuurlijk wel weten dat er eentje is. Als tweede stap is het belangrijk om snel te bepalen welke data verloren is gegaan. Want in de AVG staat duidelijk vermeld dat na constatering van het datalek de betrokkenen en toezichthouders binnen 72 uur geïnformeerd moeten worden. Datamanagementsoftware is dan goud waard, vooral als deze continu het systeem controleert op onregelmatigheden.

Alle voor deze stappen gebruikte middelen zouden idealiter moeten vallen onder een centrale data governance van waaruit de nodige maatregelen worden bepaald. Die moeten dan liefst automatisch uitgevoerd kunnen worden. In de implementatiefase zou een bedrijf ondersteuning moeten krijgen, waarbij verschillende tools aan de individuele omgeving worden aanpast en die een eerste controle uitvoert om te kijken hoever het staat met de invoering van de AVG-vereisten. Uit de resultaten van het onderzoek kan een bedrijf snel de eigen risico's distilleren en met de grootste problemen beginnen.