Zijn we er klaar voor?

Met 25 mei voor de deur zijn veel organisaties, waaronder ook leden van BTG en INTUG, vanuit het groot en midden zakelijk gebruikerssegment druk doende hun processen te optimaliseren, zodat zij voldoen aan de wettelijke richtlijnen van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Ondanks dat het voor iedere organisatie een vanzelfsprekendheid is dat persoonsgebonden, in data omvatte gegevens van klanten, medewerkers en overige relaties optimaal beschermd moeten zijn, vormt het voor velen nog wel een uitdaging om hierbij de juiste punten op de ‘i’ te zetten. De deadline en eventuele aanzienlijke gevolgen van financiële sanctie, persoonlijke en imagoschade worden nog vaak ervaren als het zogenaamde zwaard van Damocles. Een stok achter de deur is in dit verband echter meer dan uitstekend, want de borging van persoonsgebonden data raakt zowel binnen als buiten organisaties precaire en ethische kwesties.

De meeste organisaties hebben de AVG-borging dan ook breed, programmatisch aangevlogen door functionarissen en operationele teams aan te stellen en bewustzijn campagnes te voeren. Dit heeft geleid tot analyses, herijking en benodigde bijsturing op de inrichting van het organisatie- en ICT-beleid, de cyclische organisatie- en werkprocessen en de kwaliteit en borging van (contractuele) documenten, waarin deze zaken zijn belegd. Tijdens dit proces is mogelijk geconstateerd dat er nog sprake is van omissies en fitting gaps, die in relatie tot de naderende deadline wellicht te haastig zijn overbrugd. Op het gebied van security- en safety programmatuur, en hiervoor benodigde software licenties is zo nodig aanvullend geïnvesteerd, waardoor de TCO’s van een aantal organisaties zullen zijn gestegen.

Gedurende deze procesfase is er regelmatig sprake geweest van discussie over de interpretatie van de gestelde verordening en consequenties hiervan, met name op het gebied van de mate waarin organisaties moeten aantonen dat zij aan hun verplichtingen kunnen voldoen. Hieruit blijkt dat een aantal wegen naar Rome kunnen leiden.

Vanuit de markt wordt behendig geanticipeerd op deze onzekerheden binnen organisaties en hun behoefte aan zekerheid door nieuwe producten en diensten aan te bieden, bijvoorbeeld in de vorm van scan- en registratiesystemen. Want uiteindelijk zal na deze brede inhaalslag ook sprake moeten zijn van een structurele borging van het ‘on going’-proces. Wellicht ligt hierin ook nog een taak belegd voor de diverse, door de overheid geaccrediteerde, normeringsinstituten, waardoor meer standaardisatie kan worden gerealiseerd.

Vanuit INTUG en BTG zijn voor de leden handleidingen ontwikkeld op basis waarvan zij hun safety- en security processen kunnen inrichten en borgen. In de diverse bijeenkomsten is breed aandacht besteed aan het thema en BTG zal dit continueren in de reguliere dienstverlening van de vereniging, door middel van advisering en kennisdeling.

Zo hoopt iedereen op de juiste weg te zijn naar de benodigde optimalisatie, want in deze tijden van toenemende risico’s op cybercriminaliteit, is het goed dat er sprake is van een groeiend bewustzijn van de grote diversiteit in de waarde van persoonsgebonden data!

Jan van Alphen, BTG/INTUG