GDPR-compliance: hoe geraak je als bedrijf weerin topvorm?

Intussen is het meer dan zes jaar geleden dat de Europese privacywetgeving GDPR in werking trad. En toch blijft er bij heel wat bedrijven nog veel werk aan de winkel om tot een goede toepassing van de GDPR-regels te komen.

Dat de toepassing van GDPR vandaag vaak niet snor zit, merkten we onlangs nog. Tijdens een opleiding rond GDPR bij een grote marketingorganisatie vroegen we aan de deelnemers, die het zouden moeten weten: welke GDPR-processen volgt jullie organisatie en kennen jullie die voldoende? Hebben jullie bijvoorbeeld een verwerkerscontract? Hoe selecteren jullie een verwerker? Op welke manier beantwoorden jullie vragen van mensen die hun rechten willen gebruiken? En wat te doen bij een datalek?

Toegegeven: representatief was onze kleine enquête niet. Maar toch. Het enige proces dat iedere deelnemer kende, bleek het opstellen van contracten. Van alle andere processen wist slechts de helft of nog minder van het bestaan af, laat staan hoe je die processen moet uitvoeren.

De vraag is dan ook waarom bedrijven nog altijd zo moeilijk GDPR-compliant raken. Terwijl de GDPR-wetgeving intussen niet meer zo nieuw is, er straks nieuwe Europese regelgeving rond data aankomt en de datawereld alleen maar aan complexiteit wint … Om maar te zeggen: the time to get organised is now.

Waar ligt het aan?

Je zou kunnen denken dat bedrijven zo moeilijk GDPR-compliant raken, omdat het voor hen puur een kostenpost is die niet direct iets oplevert. Maar dat is het dus niet. Bedrijven hebben het al even moeilijk met andere trajecten rond data governance: trajecten die wel een duidelijk zichtbare meerwaarde opleveren.

Waar ligt het dan wel aan? Net als andere vormen van data governance is GDPR complex, omdat de hele organisatie samen compliant moet raken. Om de GDPR-regels te toepassen, moet je over alle klassieke organisatiesilo’s heen de handen in elkaar slaan. En alleen dat al is moeilijk.

Bovendien moeten de bedrijven dan doorheen de hele organisatie mensen verantwoordelijk maken. Die mensen moeten die verantwoordelijkheid ook opnemen, iets waar ze het vaak moeilijk mee hebben. Maar nogmaals: dat zijn ook elementen die vaak stroef lopen bij het begin van andere trajecten rond data governance. Algemeen hebben ondernemingen nu eenmaal dikwijls moeite met het uittekenen en opvolgen van processen.

Bedrijven kijken te weinig in de spiegel

Het gaat er niet alleen om de juiste processen uit te tekenen, in te richten en in te oefenen. Je moet als organisatie ook nadenken over hoe je zal controleren of je mensen hun verantwoordelijkheid nemen. Niet om hen op de vingers te tikken, maar wel om na te gaan waar het nog beter kan. Alweer een element dat geldt bij alle inspanningen rond data governance.

Wat blijkt? Slechts 10% van de bevraagde deelnemers wist hoe een GDPR-audit verloopt. Zo’n audit vindt dus maar zelden plaats, zowel intern als extern. Dat is een gemiste kans, want zo weet je niet of je verwerkers de GDPR-regels juist toepassen (wat je nochtans moet nagaan) en op welke vlakken je zelf de GDPR beter kan toepassen.

Pas als je als bedrijf in de spiegel kijkt, besef je of  je GDPR-processen voldoende bekend zijn. Of bijvoorbeeld voldoende medewerkers weten wat ze moeten doen bij een datalek, wat iedereen kan overkomen. Vaak staan al die processen wel ergens op papier. Maar zijn ze bij iedereen bekend?

Dus wat staat je te doen?

Herken je veel uit je eigen organisatie in dit verhaal? Voer dan zo’n interne GDPR-audit uit, al dan niet samen met een externe partner. Kijk eens goed in de spiegel: passen jullie de GDPR-regels wel goed toe? Plaats GDPR-compliance daarbij binnen het bredere kader van data governance. Het gaat namelijk niet over louter GDPR-compliant zijn, maar ook over data waardevol en bruikbaar houden, in al hun aspecten.

Meer weten over hoe we met data governance in jouw GDPR compliance het verschil kunnen maken? Contacteer ons.

Ben je benieuwd naar onze diensten? Ontdek ze hier.