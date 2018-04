Het verzamelen, opslaan en managen van data is de norm van vrijwel elk bedrijf tegenwoordig - maar hoe voorzichtig bedrijven ermee omgaan is een heel andere vraag. Daar kan een chief privacy officer (CPO) een antwoord op zijn. Een CPO stelt de privacystrategie op in de organisatie, navigeert door het complexe en veranderende landschap van compliance aan regelgeving en, misschien wel het belangrijkste, komt op voor de belangen van klanten.

"De belangrijkste verantwoordelijkheid van een CPO is belangenbehartiger te zijn voor de klanten binnen het proces in het bepalen wat persoonlijk identificeerbare informatie (PII) is binnen de bergen data die in het bezit is van het bedrijf", zegt Ameesh Divatia, CEO van databeschermingsbedrijf Baffle.

"Verder moet de data direct op het moment dat het gegenereerd wordt, beschermd worden of is er een besluit nodig om bepaalde data niet te vergaren. In dat alles moet er ook nog worden gezorgd dat de data nog steeds te gebruiken is in de bedrijfsvoering."

Je loopt niet alleen het risico grote boetes te moeten betalen als je de privacyregelgeving negeert, maar tevens staat de reputatie van het bedrijf op het spel.

Hier zijn enkele gegronde redenen waarom je een CPO zou moeten aanstellen, als je dat niet al hebt gedaan.

1. Privacyregelgeving

Omgaan met persoonlijke data vergt een hoop verantwoordelijkheid om de klant en het bedrijf te beschermen. Je moet ervoor zorgen dat klanten- en gebruikersdata privé blijft en je hebt een hoge mate van bekendheid nodig met compliance-regulering.

"Er zijn privacywetten in meer dan 100 landen in de wereld die beschrijven hoe bedrijven deze data mogen verzamelen, managen en opslaan. Daarnaast zijn er financiële en reputationele gevolgen in het goed of slecht omgaan met persoonlijke data, dus het is zeer belangrijk voor bedrijven dat er iemand wordt ingehuurd die richting kan geven aan een transparante datapraktijk die in lijn is met die regelgeving", zegt Peter Lefkowitz, chief privacy and digital risk officer bij Citrix.

"Het juridische risico is het niet compliant zijn met de diverse wetten in de wereld, die allemaal specifieke eisen stellen aan transparantie, verzameling, gebruik, opslag en verwerking van data, en over incidentenmanagement. De vereisten zijn niet altijd direct even duidelijk en de straffen op het niet compliant zijn fiks", zegt Lefkowitz.

De General Data Protection Regulation (GDPR), die van kracht wordt op 25 mei, is van groot belang voor iedereen die in Europa zaken doet. De nieuwe regelgeving beschrijft hoe bedrijven de data van Europese burgers kunnen gebruiken, verzamelen en managen en geeft personen meer controle over hun persoonlijke data.

2. Voorgeschreven CPO

GDPR geeft bedrijven nog een reden om een CPO aan te stellen. Je kan juridisch worden gedwongen er eentje te hebben. De regelgeving schrijft voor dat bedrijven "een data protection officer aanstellen als ze grote hoeveelheden data van Europese burgers verwerken of opslaan, speciale persoonlijke data verwerken of opslaan, geregeld data-subjects monitoren of een publieke autoriteit zijn", schrijft Michael Nadeau van onze zustersite CSO.com.

"Een betrouwbaar merk kan plots verdwijnen als het faalt met privacy, een organisatie kan mogelijke omzetstromen missen als het niet compliant en gecertificeerd is en GDPR kan kostbaar zijn", zegt Chris Bihany, de CEO van Garland Technology.

3. Datalekken

Er lijkt geen einde te komen aan de alarmerende berichten over datalekken in de laatste jaren. Lekken zoals die bij Target, Sony, Home Depot en Equifax hebben bedrijven miljoenen euro's gekost.

"Een CPO helpt in het ontwikkelen van strategieën in de bescherming van PII tegen dit soort incidenten en kan het topmanagement op de gevolgen (zowel technisch als zakelijk) wijzen van een lek", zegt Deema Freij, global privacy officer bij beveiligingsbedrijf Intralinks.

4. Publicitaire nachtmerries

Als je een proactieve strategie hebt in het beschermen tegen een veiligheidsincident kan je daarmee ook de reputatie van je merk beschermen. In het slechtste scenario kan een CPO tenminste nog de effecten van een aanval beperken en een strategie creëren om toekomstige problemen te voorkomen.

"Hoe meer je hebt dat bescherming nodig heeft, des te meer heb je een CPO nodig. Het gaat er niet zozeer om in welke branche je zit, maar meer in het identificeren van de waarde van hetgeen je wilt beschermen. Mensen denken dat de zorg of financiële sector een groter risico lopen dan bijvoorbeeld retail, maar in de laatste jaren met datalekken bij Target, Equifax en Yahoo is het tegendeel gebleken", zegt Bihary.

5. Verloren winst of verstoorde bedrijfsvoering

Een CPO helpt organisaties in het omgaan met privacy en compliance, en tevens in het bouwen aan een solide strategie die helpt in het beschermen van de business. Bedrijven kunnen wat gemoedsrust krijgen als ze weten dat ze iemand hebben die bovenop de trends in privacy en compliance zit en die zorgt voor een strategie in het voorkomen en managen van datalekken.

"Zonder een duidelijk en goed hanteerbaar privacybeleid en zonder een aangewezen persoon die dat uitvoert en bewaakt, zal er economische winst worden gemist, gevolgd door economisch verlies en zelfs bedrijfsfalen. Bij een incident kan de verstoring van de bedrijfsvoering een fataal gevolg hebben", zegt Bihary.