Het probleem rondom databescherming en privacy was tot voorkort een discussie die alleen gevoerd werd door een specifieke groep mensen binnen een organisatie. Tenzij je een IT-consultant of bedrijfsjurist was, was privacy-compliance niet jouw pakkie-an. Hoe kan het dan dat veel organisaties nu wettelijk verplicht zijn om een Data Protection Officer (DPO) aan te nemen? En waarom zijn CEO’s zo geïnteresseerd in het databeschermings- en -privacybeleid van hun organisatie?

Niemand neemt het je kwalijk als je denkt dat het hele idee van dataprivacy pas sinds 2018 bestaat, maar als je het vanuit een antropologisch perspectief bekijkt, verlangen mensen al meer dan drieduizend jaar naar privacy. Dat wordt onder andere gedemonstreerd door de opkomst van het gebruik van muren binnenshuis, in het jaar 1500. Het ‘recht op privacy’-concept is wel vrij jong en werd pas in 1984 officieel erkend als internationaal mensenrecht. Zweden was in 1973 het eerste land dat een nationale databeschermingswet in het leven riep. Maar zelfs deze eerste tastbare poging om dataprivacy te reguleren werd aangejaagd door het menselijk verlangen om hun privacy te waarborgen, ditmaal door de opkomst van computers en zorgen over de verwerking en opslag van persoonlijke gegevens.

Hoewel dataprivacy dus wel degelijk al eerder speelde, valt niet te ontkennen dat 2018 een keerpunt was. De General Data Protection Regulation (GDPR) mag dan pas twee jaar jong zijn, de impact ervan is flink. Tot op heden heeft deze regelgeving voor bijna 429 miljoen euro aan boetes gezorgd. Dit bedrag herinnert bedrijven die data van Europese burgers verwerken eraan dat er flinke consequenties verbonden zijn aan het niet voldoen aan de dataprivacyregelgeving.

Vraag naar DPO’s geëxplodeerd

Naast dat het een duidelijker kader biedt voor het omgaan met data, heeft de GDPR ervoor gezorgd dat databescherming en -privacy meer om mensen draait. In plaats van technische standaarden en software-eisen is de regelgeving gebaseerd op fundamentele burgerrechten en hoe mensen binnen een organisatie deze rechten kunnen beschermen. Een van de meest specifieke onderdelen van de GDPR is artikel 37, waarin staat dat bepaalde bedrijven een DPO moeten aanstellen om aan de regelgeving te voldoen. Hierbij gaat het om alle publieke instanties – bedrijven van wie de kernactiviteiten vragen om grootschalige monitoring van individuen of die grootschalige verwerking van strafrechtelijke data omvatten.

Hoewel het niet voor elke organisatie verplicht is om een DPO aan te stellen, is dat wel raadzaam als ze hun dataprocessen op orde willen hebben. Volgens het meest recente Veeam Cloud Data Management-rapport geven organisaties uit verschillende sectoren gemiddeld 41 miljoen dollar uit aan technologieën voor het boosten van business intelligence, waardoor DPO’s erg in trek zijn. In 2018, toen de GDPR van kracht werd, waren er in totaal 75.000 (!) vacatures voor DPO’s te vinden. 28.000 daarvan waren voor Europa en de Verenigde Staten.

Met name tijdens de transitieperiode is het belangrijk dat organisaties transparant communiceren over hoe data wordt gebruikt. Niet iedereen binnen het bedrijf hoeft een databeschermingsexpert te zijn, maar alle medewerkers moeten wel op de hoogte zijn van de basisprincipes. En hoewel het aan de DPO is om te zorgen voor GDPR-compliance ligt de uiteindelijke verantwoordelijkheid bij de CEO. Databescherming is zowel een business- als een technologie-issue. Dus is het van belang dat bedrijven over een IT-strategie beschikken die robuuste databescherming mogelijk maakt.

Focus op de mens

Onderzoek van Veeam laat zien dat driekwart van de IT-beslissers wereldwijd zich tot Cloud Data Management wendt om een slimmere business te realiseren. Cloud Data Management brengt disciplines als back-up, replicatie en disaster recovery samen binnen de volledige cloud- en datamanagementvoorziening van een organisatie. Deze technologie zorgt ervoor dat data altijd beschikbaar, herstelbaar en beschermd is. Maar net als dataprivacy is ook IT op mensen gericht. In een wereld waarin bedrijven hun data meer dan ooit moeten beschermen, zijn CEO’s, CIO’s en DPO’s op zoek naar betrouwbare partners om de risico’s rondom hun datamanagement te verlagen. Deze ondersteuning kan plaatsvinden in de vorm van het configureren van datamanagementsystemen, technische training voor beheerders, of basis dataprivacytraining voor eindgebruikers.

Data Protection Day is het uitgelezen moment om eens stil te staan bij hoe we data gebruiken en zien. Bovendien is de start van het nieuwe decennium een goed moment om in te zien dat we ons nog middenin een transformatie bevinden. De impact van de GDPR blijft groot naarmate toezichthouders hun geduld verliezen en organisaties die niet compliant zijn vaker of zwaarder gaan straffen. Een groter aantal boetes en meer reputatieschade zorgen voor nog meer vraag naar DPO’s. En hoewel investeren in technologieën als Cloud Data Management een essentieel onderdeel is van de strategie van de DPO, is privacy nu een people business. Bedrijven die echt slim willen investeren, doen dat in betrouwbare partners die mensen binnen elk niveau van de organisatie kunnen helpen compliant te zijn en een authentieke, transparante datacultuur te creëren.

Bron: techzine.nl

Benieuwd naar de recentelijke ontwikkelingen omtrent privacy en compliance en/of wil je weten hoe jouw organisatie privacy en informatiebeveiliging kan borgen met behulp van het Compliance Management Framework (CMF)? Meld je dan snel aan voor het webinar AVG; hoe kom ik in control?