De grootste hoeveelheid informatie die we vandaag krijgen aangereikt omtrent de General Data Protection Regulation, belicht de juridische kant van het verhaal. Over de concrete invulling van dit wetgevend kader worden bedrijven veelal in het ongewisse gelaten. Doordat de GDPR tot op vandaag nog veel ruimte voor interpretatie laat, is het voor de meeste organisaties zoeken naar een juiste aanpak. Dus blijft de vraag: hoe begin je aan die (lange) weg richting compliancy? “GDPR vraagt om een projectmatige aanpak, waarbij je stap voor stap en heel consistent te werk gaat”, weet Hilde Tyssen. Als program manager GDPR coördineert zij sinds het voorjaar van 2017 de implementatie bij haar werkgever Wolters Kluwer Belgium. “Een stappenplan is zeker aan te raden omdat het houvast biedt. Het is zoals het beklimmen van de Mount Everest. Je moet dat in verschillende etappes doen, anders lukt het nooit.” Haar persoonlijke ervaringen en leerpunten tijdens dit intensieve traject deelt ze graag met Bloovi.
Consistente aanpak
“Probeer voldoende afstand te nemen van het juridisch kluwen rond GDPR, want het risico bestaat dat je je daarin gaat vastrijden”, waarschuwt Hilde Tyssen. “Waar bedrijven nu vooral nood aan hebben, zijn actiegerichte instructies over hoe je dat precies moet implementeren in je verschillende departementen. Op een of andere manier dien je een pragmatische vertaalslag van dat wetgevend kader te maken, anders kan je nooit het bos door de bomen zien en weet je niet waar eerst beginnen.”
Wat betekent die GDPR-implementatie nu concreet voor mijn bedrijfsprocessen, is dé hamvraag die elke onderneming zich dient te stellen. “In dat hele GDPR-traject is een projectmatige aanpak ten zeerste aan te raden, omdat het houvast biedt”, stelt Hilde Tyssen. “Belangrijk is ook dat je daarbij op een consistente manier te werk gaat. Want de GDPR mag dan wel een wetgevend kader creëren, over de concrete invulling die je daar als bedrijf aan geeft, bestaat nog onduidelijkheid. Dat de Europese instanties dit tot op vandaag nog verder aan het uitkristalliseren zijn, maakt de zaken er niet makkelijker op. Daarom heb je iemand nodig met een soort alert-functie, die de privacycommissie en de werkgroep daarrond nauwlettend in het oog houdt zodanig dat je aanpassingen kan doen om je GDPR-beleid constant up-to-date te houden.”
GDPR mag dan wel een wetgevend kader creëren, over de concrete invulling die je daar als bedrijf aan geeft, bestaat nog veel onduidelijkheid
Bijna alle bedrijven leggen de verantwoordelijkheid voor het vastleggen van een gestructureerde en consistente aanpak bij hun interne legal counsels. “Maar”, voegt Hilde Tyssen er meteen aan toe, “het belangrijkste is dat je binnen de organisatie aan niet te veel mensen vraagt hoe zij de GDPR zouden interpreteren want dan krijg je heel veel verschillende antwoorden en ga je sowieso de mist in.”
Aan de voet van de Mount Everest
Dat het in kaart brengen van alle interne processen waar persoonlijke data aan te pas komen een titanenwerk is, mocht ook de program manager interne GDPR ervaren. “Veel hangt uiteraard af van hoe complex je organisatie is”, merkt ze op. “Ben je bijvoorbeeld een start-up, dan zal dat vanzelfsprekend een pak eenvoudiger zijn dan bij een organisatiestructuur die uit meerdere afdelingen bestaat.”
“In het begin lijkt het alsof je aan de voet van de Mount Everest staat. Die is enkel te beklimmen, wanneer je dat in verschillende etappes aanpakt. Maak het hele traject overzichtelijk waardoor je van bij de start prioriteiten kan gaan leggen. Je moet vooraf goed weten welke zaken je eerst gaat aanpakken.”
De GDPR verplicht ondernemingen om een dataregister bij te houden van alle verwerkingsactiviteiten. “Wolters Kluwer Belgium kent enorm veel dataprocessen die niet allemaal gestandaardiseerd zijn, waardoor dit een gigantische uitdaging was.”
En dan heeft Hilde Tyssen nog het voordeel al heel lang bij Wolters Kluwer te werken waardoor ze de organisatie door en door kent. “Als je perfect weet bij wie je moet aankloppen om de juiste input te vergaren, kan je veel sneller schakelen. Het beste scenario is dat de organisatie geen geheimen kent voor de persoon die de GDPR-implementatie in goede banen moet leiden. Idealiter is het ook iemand die over een groot intern netwerk beschikt. Zorg er voor dat je niet enkel een beroep doet op zeer formele processen, want in dat geval moet je top-down heel veel druk uitoefenen om die dingen naar boven te krijgen. Mij is het alvast gelukt ook bottom-up mensen te stimuleren en enthousiasmeren.”
Awareness creëren en rust prediken
Het feit dat het GDPR-verhaal zoveel verschillende dimensies omvat, maakt een goede voorbereiding noodzakelijk. Hilde Tyssen somt een aantal aandachtspunten op. “Awareness creëren bij elke medewerker, trainingen voorzien voor de verschillende functies en afdelingen, goed communiceren over hoe je concreet tewerk zal gaan,…”
“Van zodra je er aan begint, moet je rust prediken in de organisatie. We hebben daarvoor een communicatieplan in vier stappen opgezet, waarvan de eerste fase reeds achter de rug is. Op elke afdeling gaven we presentaties over wat er precies allemaal te gebeuren staat en hoe we dit stap voor stap gingen aanpakken. Dat heeft voor vertrouwen gezorgd, het laat zien dat je alles onder controle hebt. Een vast aanspreekpunt voor het geval er nog bijkomende vragen zouden zijn, is eveneens een vereiste.”
“Je kan je niet voorstellen hoeveel verschillende impressies rond GDPR er binnensijpelen in een organisatie: indrukken die op den duur een eigen leven gaan leiden en paniek kunnen veroorzaken. Medewerkers gaan daardoor verkrampen, durven vaak niks meer te ondernemen doordat ze geen duidelijke instructies krijgen vanuit het eigen bedrijf.”
Je kan je niet voorstellen hoeveel verschillende impressies rond GDPR er binnensijpelen in een organisatie: indrukken die een eigen leven gaan leiden en paniek kunnen veroorzaken
Niet alles verwachten van je legal counsels
Een minimumvereiste is dat alle werknemers in een organisatie de basisprincipes van de Algemene Verordening Gegevensbescherming kennen, alsook de impact van deze nieuwe richtlijnen en hun rol in de naleving ervan. “Anders sta je als onderneming nergens, zelfs niet met het best uitgewerkte beleid”, klinkt het.
“Men kijkt daarvoor altijd naar de juridische dienst maar de legal counsels zitten zodanig ondergedompeld in het juridische dat zij meestal niet weten welke bedrijfsprocessen er allemaal bestaan binnen een afdeling HR of marketing. De kunst is om elkaar tegemoet te komen. Hoe wij dat concreet hebben aangepakt? Door in de eerste plaats vragen los te weken bij alle medewerkers en daar dan eenduidige afspraken rond te maken. Om zoveel mogelijk input naar boven te krijgen, hielden we binnen elk team verschillende workshops en brainstormsessies. Dat levert vaak heel verrassende inzichten op rond GDPR, zaken waar legal counsels vaak niet aan denken. Dat mag je ook niet van hen verwachten. Zij horen zich nu eenmaal te focussen op de juridische aspecten en ook daar is meer dan werk genoeg: contracten aanpassen, procedures documenteren, enzovoort.”
Effectieve communicatie op de werkvloer
Hoe ze dit bij Wolters Kluwer verder nog hebben aangepakt? “Op Yammer, ons intern sociaal netwerk, werd een GDPR-groep aangemaakt waarop werknemers al hun bezorgdheden konden posten. Op elk van die vragen formuleerden onze interne juristen een helder antwoord, die allemaal werden gebundeld in een FAQ-document dat nu permanent beschikbaar is op ons intranet. Door middel van gamification kan je triggers creëren, je gaat mensen kietelen. Zo lanceerden wij meermaals een online quiz waarbij medewerkers hun kennis rond GDPR konden testen”, vertelt Tyssen.
Door middel van gamification kan je triggers creëren, je gaat mensen kietelen rond de GDPR
Elke afdeling kreeg ook zijn single point of contact (SPOC) waar men terecht kan met specifieke vragen en bezorgdheden. “Mt extra ondersteuning door ons core team in tweede lijn, waar medewerkers kunnen aankloppen indien ze extra informatie wensen. Het core team bestaat uit onze communication manager, de IT manager, de twee legal in-house counsels en ikzelf als program manager GDPR. Het is een aanpak die nog elke dag zijn nut bewijst”, zegt Tyssen.
Goede structuur als houvast
“Toen wij in april vorig jaar startten met de inventarisatie, zijn we onmiddellijk begonnen met de voorbereiding van onze communicatie aanpak en hielden we tegelijk onze awareness trainingen. Van bij de start lag de focus ook op het juridische luik, wat wij onze governance track noemen. Daarin worden alle processen en procedures gedocumenteerd en gaan we nadenken over de nieuwe organisatierollen en verantwoordelijkheden. Ook alle contracten met verwerkingsverantwoordelijken en (sub)verwerkers enerzijds en externe verwerkers en leveranciers anderzijds dienen gereviewd te worden. Een hele boterham dus die een grondige aanpak vereist. Alles begint met een goede voorbereiding, het is met andere woorden niet iets waar je snel even aan begint.”
“Het helpt als je een goede structuur hebt waar je je tijdens de uitvoering kan aan vasthouden. Het laat ook toe om directie, corporate legal-afdeling, interne medewerkers en -last but not least klanten het gevoel te geven dat je daar volop mee bezig bent en alles grondig wordt aangepakt.”
“Eenmaal de volledige inventarisatie is afgerond, moet je kijken welke dataprocessen het meeste risico dragen. Die ga je dan als eerste GDPR compliant maken. Het is op basis van deze prioriteiten dat je de processen een voor een vastpakt, met telkens een afgelijnd takenpakket. Het uitvoeren van al die taken is een werk dat door de hele organisatie geduwd wordt en waarbij iedereen zijn verantwoordelijkheid neemt."
Nuttige oefening
“Maar voor het zover is, dien je voor elk van die processen volgende zaken te weten: welke persoonlijke data verwerken wij en worden die gegevens vandaag nog steeds door ons gebruikt? Indien het antwoord op die laatste vraag neen is, moet je in zo’n proces de nodige wijzigingen aanbrengen om die irrelevante data er uit te filteren. Voor data die wel nog relevant zijn, dien je duidelijk aan te geven waarom die worden verzameld en waar je deze gaat opslaan. Hoe lang blijven die gegevens bewaard en wat is de rechtsgrond daarvoor? Wie heeft allemaal toegang tot de gegevens? Zijn er voldoende beschermingsmaatregelen voorzien? Stuk voor stuk zijn het cruciale vragen die allemaal eenduidige, duidelijk omschreven antwoorden vereisen.”
Intensief is het sowieso, maar Hilde Tyssen vindt het vooral een zeer nuttige oefening waar elke onderneming, hoe klein ook, baat bij heeft. “Je krijgt als bedrijf meer inzicht in je eigen processen. Daarenboven kan het nooit kwaad om je databestand eens grondig op te kuisen en extra te beveiligen. Klanten en prospects worden zich alsmaar bewuster van hun privacy en hebben het recht te weten wat er met hun persoonlijke data gebeurt. Ze beseffen ook heel goed dat bedrijven hen niet langer mogen bestoken met allerhande mails. Dus kan een bedrijf daar maar beter goed op voorbereid zijn.”
“Het is trouwens niet omdat we het projectmatig aanpakken om het allemaal opgestart te krijgen, dat het ook een eenmalig project is”, merkt Tyssen op. “GDPR is een blijvende noodzaak, een operationeel proces dat nooit mag stoppen. Privacy by design houdt in dat elke nieuwe productontwikkeling en alle nieuwe processen die je als bedrijf in het leven roept GDPR-compliant zullen moeten zijn. Een Data Protection Officer dient daarover te waken.”
Gratis stappenplan
Om het hele GDPR-compliance traject te faciliteren, heeft Wolters Kluwer een handig stappenplan uitgewerkt waarbij het zich baseerde op de eigen ervaringen. Bedrijven kunnen dit gratis downloaden en als een soort handleiding gebruiken wanneer ze GDPR-compliant willen worden maar totaal niet weten hoe of waar eerst te beginnen. Dit zijn volgens het stappenplan van Wolters Kluwer de grootste aandachtspunten:
- awareness creëren;
- online documenten GDPR compliant maken;
- producten beveiligen;
- gegevens inventariseren;
- procesflow opzetten (processen en procedures uitwerken).
Ook hulp nodig bij het GDPR-compliant maken van je bedrijfsprocessen? Wolters Kluwer, jouw partner in GDPR, kan je daar op verschillende manieren bij helpen: met tal van publicaties, specialisatieopleidingen en zelfs GDPR Compliance Software. Het gratis stappenplan helpt je alvast op weg.