Organisaties hebben geen gestructureerd plan voor GDPR
Een groot deel van de organisaties wereldwijd heeft nog geen gestructureerd plan om de processen en IT-systemen klaar te maken voor de General Data Protection Regulation, die over bijna 250 dagen van kracht is. Sterker nog, voor bijna de helft van de bedrijven is het een uitdaging om persoonsgegevens te lokaliseren binnen hun systemen.
© Pixabay - CCO
Pixabay - CCO
Uit onderzoek van softwarebedrijf SAS blijkt dat 45 procent van de organisaties wereldwijd een gestructureerd plan heeft om aan de nieuwe Europese wetgeving te voldoen.
Nederlandse cijfers zijn er niet, maar volgens senior manager Rein Mertens van het softwarebedrijf lopen Nederlandse organisaties in de pas met bedrijven in andere landen. Dat betekent dat ook in ons land bedrijven echt aan de slag moeten.
“Om te kunnen voldoen aan de GDPR – de nieuwe Algemene Verordening Gegevensbescherming – moeten er verschillende dingen gebeuren. De wet heeft impact op systemen en op de organisatie. Er moet bewustzijn komen onder het personeel hoe om te gaan met persoonsgegevens. En ook het aanpassen van systemen kost tijd.”
Hoeveel tijd organisaties daar mee kwijt zijn, dat is afhankelijk van de grootte, zegt Mertens. “Een gemiddelde gemeente werkt met 150 systemen. Als die nu nog moeten beginnen, dan moeten zij echt wel aan de bak.” Zeker omdat gemeenten sinds 2015 ook verantwoordelijk zijn voor de uitvoering van taken van het sociaal domein. “Dat betekent dat een aantal systemen ook bijzondere persoonsgegevens zullen bevatten, zoals ras, godsdienst, gezondheid of seksueel leven. Zij moeten nog voorzichtiger omgaan met de verwerking ervan.”
Verwerkingsregister
De GDPR schrijft onder andere voor dat organisaties een verwerkingsregister moeten bijhouden welke systemen welke persoonsgegevens verwerken. 48 procent van de bedrijven wereldwijd zegt dat het een uitdaging is om persoonlijke data in hun eigen databases te vinden. Dat speelt vooral bij bedrijven die werken met datalakes of business analytics omgevingen.
Mertens: “Organisaties beginnen wel hun systemen in kaart te krijgen, maar het in kaart brengen van de databases en losse datasets aan de rand van het landschap is ingewikkeld. Vorige week sprak ik een bedrijf dat adhoc analyses doet. Zij hebben tienduizenden tabellen op servers staan. Het is een behoorlijke klus om te achterhalen welke van die tabellen persoonsgegevens gebruiken. Als het op eigen servers staat dan is dat met het geautomatiseerd zoeken nog wel te achterhalen. Staan de tabellen op persoonlijke devices, dan wordt het een ander verhaal.” Daarnaast blijkt uit het onderzoek ook dat 58 procent van de organisaties moeite heeft met het beheer van de eigen persoonlijke data door individuen en met het recht om vergeten te worden.
Een positief gevolg van de nieuwe wetgeving is dat 71 procent van de organisaties denkt dat hun datagovernance beter zal worden. Iets meer dan een derde van de bedrijven denkt dat hun algemene IT-capaciteit zal verbeteren omdat ze aan de wetgeving willen voldoen. Mertens: “Heel veel bedrijven zeggen, we beschouwen onze data als een asset; het is een van onze productiefactoren. Als je dat zegt, betekent het dat je eigenlijk ook een datamanagementsysteem of datagoverancesysteem nodig hebt. En alle rollen, processen en verantwoordelijkheden er zijn. Dat gaat nu echt wel beter worden, dat zien we gelukkig al.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee