Het naleven van de Europese privacywet GDPR vraagt niet alleen om technische oplossingen. Veel meer nog gaat het om bewustwording, beleid en gedragsverandering binnen organisaties.
Die waarschuwing komt van Mathijs Wijbenga, directeur van IT-distributeur Contec. De nieuwe Europese data- en privacyrichtlijn vraagt om organisatorische veranderingen, denkt Wijbenga.
Omdat het vaak IT-systemen en -toepassingen zijn die gegevens verwerken, denkt men al snel dat het naleven van de GDPR ook louter met IT-middelen te realiseren is. “IT is echter maar een deel van de puzzel”, zegt Wijbenga. “De GDPR bestaat uit 99 artikelen en 173 toelichtingen en een groot deel daarvan gaat niet over techniek, maar over beleid en gedrag.”
Toestemming
Mensen wisselen doorlopend persoonsgegevens uit met elkaar, met apps en met bedrijven. Hierdoor ontstaan er een aantal problemen rondom privacy, aldus Nijenhuis.
Voor het naleven van de GDPR moeten mensen nadrukkelijk toestemming geven voor gegevensverwerking, tenzij het bijvoorbeeld gaat om algemeen belang of wettelijke verplichting. “Dat kan alleen als de organisatie duidelijk vertelt welke data men verzamelt, met welk doel men dat doet en hoe dit beveiligd is”, aldus Wijbenga. “Men moet ook duidelijk maken wat men met die gegevens doet. Vervolgens moet de burger of klant ondubbelzinnig akkoord geven.”
Een van de zaken waar Contec bij kan helpen is de beveiliging van de apparatuur waarmee men gegevens verwerkt. Wijbenga: “Al heb je maar een lijst met contacten in Outlook of in Salesforce, dan zijn deze gegevens in feite al onderhavig aan de GDPR. Het is echter niet praktisch om iedereen in je contactenlijst toestemming te vragen om contact te houden. Hoe zou je dat überhaupt moeten doen, als je de gegevens die je hebt niet zonder toestemming mag gebruiken? Daarom is het belangrijk dat je aan kunt tonen dat de apparaten waarmee je deze gegevens verwerkt goed beveiligd zijn.”
foto: eugdpr.org