GOED VOORBEREID OP WEG NAAR COMPLIANCY

GOED VOORBEREID OP WEG NAAR

COMPLIANCY

Hoe navigeer je langs de uitdagingen van nieuwe regelgeving in een wereld waar privacy voorop staat

E-BOOK

SAMENVATTING

Compliance. Privacy. AVG. Deze woorden zorgen volgens velen voor enorme administratieve rompslomp en hoge boetes die worden gegeven als niet aan de regelgeving wordt voldaan.

Maar, de tijden veranderen. Het voldoen aan regelgeving gaat tegenwoordig niet meer alleen om vinkjes te kunnen zetten, het gaat om cultuurverandering in een tijd waarin het vertrouwen in bestaande instituties afneemt.

Dit biedt kansen aan bedrijven om het

vertrouwen van consumenten terug te winnen.

Ondernemingen benaderen compliance vaak reactief.¹ Het bleek de kunst van zo min mogelijk kosten en tijd inzetten om aan de basiseisen te voldoen. Met regelgeving op lokaal, nationaal en globaal niveau wordt het er niet makkelijker op om aan alle eisen te voldoen.

Het alleen ‘aan de regels voldoen’ is niet meer

genoeg. Integendeel, er is juist een strategie nodig om privacy in de bedrijfsprocessen te standaardiseren en het al vanaf het allereerste design mee te nemen in de ontwikkeling.

Laten we het eens van de andere kant bekijken.

Navigeren door het nieuwe informatietijdperk en het implementeren van security en privacy in elke stap van het ontwikkelproces doe je niet alleen om aan de regelgeving te voldoen. Het is ook de enige manier voor organisaties om:

• Continuïteit van de business te realiseren

• Innovatie te stimuleren zonder risico’s te introduceren

• Vertrouwen tot toegevoegde waarde te maken

• Betere inzichten uit data te vergaren

• De uitdagingen die bij schaalvergroting komen kijken aan te kunnen

HOOFDSTUKKEN IN DIT E-BOOK:

1. https://www.complianceweek.com/best-practices-in-policy-management/2218.article

1

PRIVACY TIJDENS DE ONTWERPFASE:

EEN PREVENTIEMODEL

2

HOE GEBRUIK JE COMPLIANCE ALS CONCURRENTIEVOORDEEL

3

DE BASIS IS GOED

INFORMATIEMANAGEMENT

Het is in de tijd van sociale media verleidelijk om aan te nemen dat personen graag hun leven online delen. Zelfs als dat betekent dat ze hun privégegevens moeten overdragen aan bedrijven die ze online met elkaar verbindt. Op dit moment draait privacy om lange voorwaarden die mensen nauwelijks lezen. Compliancy begint en eindigt dan ook op het moment dat de gebruiker het vakje aanvinkt waarmee hij of zij akkoord gaat met de privacyvoorwaarden. Pas daarna wordt voor veel gebruikers echt duidelijk waar ze mee in hebben gestemd. Invasieve doelen zoals marketing en advertenties komen dan pas in beeld en waren vooraf niet iets waar de gebruiker over na heeft gedacht.

Het is aannemelijk dat de schade dan al is berokkend. Neem bijvoorbeeld hoe ingewikkeld het is om je Facebook-account te laten

verwijderen. Het is een proces dat nog een aantal weken terug te draaien is. Dit komt deels door de connectiviteit van Facebook en veel

platformen die erop lijken die gebruikt wordt voor identificatie en login-mogelijkheden.

Daarom hebben veel bedrijven een duidelijke strategie voor het insluiten van gebruikers in hun ecosystemen. Met andere woorden: privacy wordt vaak gedefinieerd door voorwaarden die niemand leest, terwijl de daadwerkelijke impact en de stappen om het ongedaan te maken pas later duidelijk wordt.

Dit is een goed voorbeeld van hoe het niet zou moeten in een privacy-first omgeving waar de AVG en gelijkwaardige regulering wordt ingezet om de controle terug te geven aan de eindgebruiker. Hoewel het voldoen aan de regelgeving normaal gezien wordt als iets dat na afloop in orde zijn, draait de nieuwe regelgeving om proactieve maatregelen die eindgebruikers de mogelijkheid geeft om expliciet toestemming te verlenen aan bedrijven die hun data willen vergaren en gebruiken. Dit is een van de

basisprincipes van privacy tijdens het ontwerpen.

PRIVACY TIJDENS DE ONTWERPFASE:

EEN PREVENTIEMODEL

1

“Dankzij het standaard integreren van privacy tijdens de ontwerpfase ligt de lat veel hoger. Het laat de klanten namelijk weten dat ze daar niet om hoeven te vragen. Het is er namelijk al.”

Ann Cavoukian, Oprichter van Global Privacy and Security by Design Centre

In plaats van afwachten of risico’s op het gebied van privacy werkelijkheid worden, zorgt het implementeren van privacy tijdens de ontwerpfase ervoor dat in elk stuk code van elke applicatie en in elk bedrijfsproces de juiste werkwijze ingebakken zit. Omdat mensen er op vertrouwen dat technologie hun leven makkelijker maakt, accepteren ze sneller de standaardinstellingen, al is het maar om tijd te besparen. Dat is precies de reden dat de meest privacyvriendelijke optie de standaardinstelling zou moeten zijn. Met andere woorden, als iemand niets doet is toch zijn of haar privacy in goede handen. Alleen als ze besluiten dat ze een optie willen gebruiken waarvoor bepaalde data benodigd is, hoeven ze daarvoor toestemming te geven. Neem bijvoorbeeld een foto-app die vraagt om toestemming om de camera van je mobiele telefoon te gebruiken. Het is een aanpak die de gebruiker centraal stelt en de gebruiker geïnformeerd houdt over de soort data de die specifieke functionaliteit gebruikt.

Privacy:

>

is proactief en preventief, niet reactief

>

is altijd de standaardinstelling

>

moet in het ontwerp van elke app en proces worden geïntegreerd

>

moet geen onnodige beperkingen opleveren

>

geldt voor de complete levensduur van de gebruikte data

>

zorgt ervoor dat alle handelingen transparant en inzichtelijk zijn

>

stelt de belangen van de gebruiker voorop. Niet die van het

Een samenvatting van de belangrijkste principes bij privacy by design

PRIVACY TIJDENS DE ONTWERPFASE:

EEN PREVENTIEMODEL

1

LEES HIER MEER OVER PRIVACY BY DESIGN

Compliance wordt traditioneel gezien als iets lastigs in de zakenwereld. Veel leiders beschouwen het als een bureaucratische horde, een innovatieremmer, of een noodzakelijk kwaad. Het is immers niet vaak eenvoudig

om compliant te worden. Daarom lopen veel organisaties achter bij het implementeren van regelgeving waaraan ze minimaal moeten voldoen. In een recent rapport stond bijvoorbeeld dat iets meer dan 25% van de bedrijven momenteel voldoen aan de AVG- wetgeving, anderhalf jaar nadat de wet in is gegaan. Ondanks deze teleurstellende statistieken blijkt dat 81% van de bedrijven die wel aan de regelgeving voldone, aangeven dat ze positieve gevolgen ondervinden op het gebied van reputatie. In andere woorden het is geen last, maar een kans.

Compliance zien als een concurrentievoordeel klinkt misschien vreemd, maar het wordt

steeds meer de waarheid. We leven in een maatschappij waarin surveillance tot de cultuur behoort en privacy steeds vaker aan het kortste eind trekt. Steeds meer mensen zijn zich hiervan bewust en houden rekening met de privacygevolgen in hun keuze met wie ze zakendoen. Gebruikers vragen om steeds meer controle en transparantie over hoe en waarom bedrijven hun persoonlijke data gebruiken en verzamelen. De grootste irritatiefactor daarbij is het delen van data met onbekende derde partijen zonder dat de gebruiker daarvan op de hoogte is gesteld of daar expliciet toestemming voor heeft kunnen geven.

HOE GEBRUIK JE COMPLIANCE ALS CONCURRENTIEVOORDEEL

2

“Pak een voorsprong op uw concurrentie door privacy proactief in alle bedrijfsprocessen te integreren. Dat zorgt niet alleen voor meer omzet, maar ook voor een betere vertrouwensrelatie met uw klanten”

Ann Cavoukian, Oprichter van Global Privacy and Security by Design Centre

Veel mensen in de zakenwereld kiezen een zero- sum-aanpak in relatie tot privacy. Daaruit blijkt een wijdverspreid geloof in het feit dat controle teruggeven aan gebruikers slecht zou zijn voor de business. Met andere woorden, de zakenbelangen gaan voor de privacy van gebruikers waar dat eigenlijk andersom zou moeten zijn. Dat komt omdat privacy op zichzelf tegenwoordig als een grote plus wordt gezien door gebruikers die bedrijven beoordelen in bijvoorbeeld reviews.

Iedereen kan gebruik maken van platformen zoals Trustpilot en als iemand ontevreden is met een bedrijf dat geen oog heeft voor de privacy van klanten dan kan dat een zeer negatief beeld opleveren. Het is daarom niet meer dan logisch dat privacy in alle bedrijfsprocessen een belangrijke rol moet spelen.

Om relaties op te bouwen die gebaseerd zijn op vertrouwen is een positive-sum-aanpak nodig in de manier waarop bedrijven data vergaren en verwerken. Het moet daarmee een win-winsituatie zijn voor alle betrokkenen.

Door vooraf duidelijkheid te scheppen over

het vergaren en verwerken van data kunnen bedrijven meer en betere proposities aan hun klanten aanbieden. Neem bijvoorbeeld de mogelijkheid dat er op een later moment zich een kans voordoet om de klantdata op een andere wijze in te zetten. Bedrijven kunnen dan op dat moment aan hun klanten vragen of ze akkoord gaan met dit nieuwe gebruik.

De meeste klanten waarderen de transparantie en zullen daarmee akkoord gaan. Daarmee wordt de relatie verstevigd en is en de klant en het bedrijf tevreden. Vraagt een bedrijf niet om toestemming en wordt de data toch gebruikt?

Dat leidt tot wantrouwen en een overtreding van de regelgeving en dat kan flinke consequenties hebben. Zo kreeg YouTube een boete van 170 miljoen dollar voor het overtreden van de Children’s Online Privacy Protection Act (COPPA).

Samenvattend. Het integreren van privacy in alle lagen en alle bedrijfsprocessen beschermt niet alleen reputaties, het is een fundamenteel onderdeel van de propositie dat extra waarde biedt in een wereld waar privacy voorop staat.

2. https://www.theverge.com/2019/9/4/20848949

gekregen voor het overtreden van de Children’s Online Privacy Protection Act (COPPA)

$170m

YouTube heeft een boete van HOE GEBRUIK JE

COMPLIANCE ALS

CONCURRENTIEVOORDEEL

2

DE BASIS IS GOED INFORMATIEMANAGEMENT

De praktische bezwaren in de implementatie van het centraal positioneren van privacy in de ontwerpfase is een van de grootste uitdagingen waar organisaties voor staan. Dit wordt alleen maar complexer als het bedrijf al tientallen jaren data heeft vergaard op talloze verschillende manieren. Gezien de snelle technologische ontwikkelingen wordt het probleem steeds complexer, aan de hand van hoe lang het bedrijf actief is. De hoeveelheid data die alledaagse zakenactiviteiten tegenwoordig opleveren is voor veel bedrijven al bijna niet meer bij te houden.

Uit een recente studie blijkt dat minder dan

een derde van de bedrijven zichzelf ziet als een datagedreven organisatie, terwijl ze stuk voor stuk meer data vergaren dan ooit.

Uiteindelijk komt het allemaal neer op goed informatiemanagement. Als de juiste processen in het bedrijf actief zijn, kunnen de leidinggevenden waardevolle inzichten verkrijgen uit de data en innovatie stimuleren zonder risico’s te nemen.

Elk robuust informatiebeheersysteem houdt zich daarom aan bepaalde voorwaarden om zeker te zijn dat het voldoet aan alle regelgeving en veiligheidseisen van vandaag en van morgen.

3. https://hbr.org/2019/02/companies-are-failing-in-their-efforts-to-become-data-driven

van de bedrijven zien zichzelf als een datagedreven organisatie

1/3

minder dan

3

“De hoeveelheid en het aantal soorten data, zeker wanneer er een hoop fysieke media in het spel is, gecombineerd met de eis dat alles binnen bepaalde deadlines moet worden verzameld, zorgt voor een grote uitdaging voor bedrijven.”

Michael Zurcher, Global Privacy Officer at Iron Mountain

10 stappen om een toekomstbestendig informatiebeheerplan op te stellen

School alle werknemers bij in hun verantwoordelijkheden en plichten om informatie veilig te houden aan de hand van de veiligheidseisen.

Bevestig de authenticiteit en integriteit van data en wis inconsistente resultaten.

Bewaar alle gegevens in een uniforme en door het bedrijf goedgekeurde opslaglocatie.

Classificeer alle data onder de juiste code zodat de bijpassende

veiligheidsmaatregelen worden toegepast.

Voorkom onnodige toegang tot gegevens met preventiemaatregelen zoals zero- trust-toegangscontrole.

Vernietig informatie op de juiste wijze zodra het niet meer bewaard hoeft te blijven en geen toegevoegde waarde meer biedt.

Versleutel alle klant- en bedrijfsgegevens en beveilig deze data met multifactor authenticatie.

Werk mee met alle Recht Op Inzage (ROI)-verzoeken door binnen 30 dagen te reageren (in het geval van de AVG).

Stem alle bedrijfsprocessen en -systemen af met de informatiebeheerstandaarden op het moment dat ze worden geïmplementeerd.

Zorg ervoor dat derde partijen met toegang tot klant- of bedrijfsdata compliant zijn met de informatiebeheerstandaarden van uw bedrijf.

1 2 3 4 5

6 7 8 9 10

DE BASIS IS GOED

INFORMATIEMANAGEMENT

3

Meewerken met ROI-verzoeken blijkt voor veel bedrijven lastig. Personen die een verzoek doen, mogen vragen welke informatie wordt verwerkt, wat voor soort data het betreft, waarom het bedrijf het bewaart en hoe het is verzameld.

Daarnaast mogen gebruikers vragen wat het bedrijf eraan doet om deze informatie veilig te houden. Verzoeken moeten binnen 30 dagen worden afgehandeld. Het kan knap lastig zijn om aan deze eis te voldoen, omdat informatie zich vaak bevindt in ongestructureerde bronnen zoals papieren documentatie, e-mailarchieven en soms zelfs nog op microfilm. Deze

documenten zijn logischerwijs minder makkelijk doorzoekbaar dan de huidige databases en daarnaast kan het bronmateriaal ook nog eens fysiek aangetast zijn.

Het tackelen van deze uitdagingen vraagt om een switch naar een grotendeels geautomatiseerde

informatiemanagementomgeving. Het is tijd dat bedrijven grip krijgen op de overvloed aan informatie en verwijderen wat ze niet nodig hebben. Daarnaast is het van belang dat ze hun beleid up-to-date hebben. Om dit werkbaar te houden is er een routine nodig die het informatiebeheer automatisch uitvoert. Zo is er bijvoorbeeld optical character recognition (OCR) waarmee papieren documenten kunnen worden

gedigitaliseerd. Deze digitale documenten kunnen vervolgens doorzoekbaar worden gemaakt. Artificial intelligence zorgt ervoor dat er inzichten kunnen worden gewonnen uit grote hoeveelheden ongestructureerde data. Deze oplossingen zorgen er samen voor dat bedrijven kunnen migreren naar een meer schaalbare en beheersbare infrastructuur die extra waarde vergaart voor elk proces.

DE BASIS IS GOED INFORMATIEMANAGEMENT

3

OMGAAN MET HET RECHT OP INZAGE

EEN FUNDERING VOOR INNOVATIE ZONDER RISICO’S

Niemand suggereert dat het implementeren van privacy in alle ontwikkelprocessen een makkelijk stap is. Zeker niet voor bedrijven die al wat langer bestaan. Deze bedrijven moeten vaak tientallen bedrijfsprocessen en -systemen aanpassen om aan de regelgeving te voldoen. Maar privacy is een fundamenteel mensenrecht en in een tijd waarin het continu onder vuur ligt van gewetenloze advertentiegrootmachten zijn er gelukkig vele manieren waarop een focus op privacy waarde kan toevoegen door heel het bedrijf.

Voldoen aan de regels zorgt voor sterkere relaties met privacybewuste gebruikers in een tijd waarin deze steeds beter opletten

met wie ze zakendoen.

Met de juiste

informatiemanagementprocessen wordt de business beter schaalbaar en aanpasbaar aan

de huidige en toekomstige eisen en regelgeving.

Het implementeren van privacy in alle geledingen van de bedrijfsprocessen zorgt voor een meer samenhangend en

efficiënt informatiemanagement ecosysteem. Dit systeem helpt bij het ontwikkelen tot een meer

datagedreven organisatie.

OVER IRON MOUNTAIN

Iron Mountain Incorporated (NYSE: IRM) heeft sinds de oprichting in 1951 een gevestigde reputatie opgebouwd van betrouwbare marktleider wereldwijd in opslag- en informatiebeheerdiensten. Met meer dan 220.000 organisaties die ons wereldwijd hun waardevolle assets toevertrouwen. En met een vastgoednetwerk van meer dan 78 miljoen m2. Wij verzorgen de opslag en beveiliging van biljoenen informatie assets, zoals bedrijf kritische informatie, uiterst gevoelige data, en cultureel en historisch erfgoed. Met oplossingen zoals beveiligde opslag, informatiebeheer, digitale transformatie, veilige vernietiging, alsmede datacentra, kunstopslag en -logistiek, en clouddiensten. Zo ondersteunen we organisaties op hun weg naar lagere kosten en risico’s, verbeterde compliance, sneller rampherstel en meer digitaal werken.

Ga voor meer informatie naar:

www.ironmountain.nl / www.ironmountain.be/nl

© 2020 Iron Mountain Incorporated. Alle rechten voorbehouden.

Iron Mountain en het logo van de berg zijn gedeponeerde handelsmerken van Iron Mountain Incorporated in de Verenigde Staten en andere landen. Alle andere handelsmerken zijn eigendom van hun respectieve eigenaren.