GDPR anderhalf jaar na invoering
Hoe staat het met de implementatie van GDPR en wat is de rol van de Risk Manager?
Eind mei 2018 werd de AVG van kracht. In 2020 wordt de GDPR-wetgeving op Europees niveau geëvalueerd. Hoe staat het anderhalf jaar na invoering met 'GDPR' in relatie tot corporate governance en wat is de rol van de Risk Manager geweest?
Europees onderzoek
Daarover deden twee organisaties onderzoek: FERMA namens de Europese Risk & Insurance Management Associaties en ECIIA, de Europese organisatie van Internal Audit Institutes. Welke impact heeft de invoering van de 'General Data Protection Regulation', kortweg GDPR, gehad en hoe verloopt de implementatie van deze regels in het framework van corporate governance? En welke rol is er op dit gebied weggelegd voor met name Risk Managers?
Tot dusver is er weinig informatie beschikbaar hoe de invoering van de GDPR in de praktijk is gegaan en tot welke veranderingen dat heeft geleid. Doel van het onderzoek is dan ook om hiervan een beeld te krijgen en ook om een bijdrage te leveren aan de evaluatie van de wetgeving in 2020 door de Europese Commissie.
Tijdens het FERMA Forum in Berlijn in november werden de bevindingen gepresenteerd en op 5 december 2019 vond er over dit onderwerp ook nog een webinar plaats.
In welke mate is de Risk Manager betrokken bij GDPR en compliance?
Vragen die in het onderzoek onder meer aan bod zijn gekomen, gaan over de mate waarin de Risk Manager betrokken is geweest bij de implementatie op corporate niveau en of de onderlinge relatie tussen de Risk Manager en de Data Protection Officer (DPO) door invoering van de wetgeving is veranderd. Is er überhaupt een Data Protection Officer aangesteld?
Uit het onderzoek blijkt dat in driekwart van de gevallen Risk Managers het onderwerp dataprotectie hebben opgenomen in de 'risk mapping'. Datafraude en diefstal van gegevens wordt gezien als een top 10-risico waarmee organisaties worden geconfronteerd. In veel gevallen wordt aan de hand van stresstests de impact van een databreach bepaald in termen van financiële schade en aantasting van de reputatie. Hoewel de DPO wordt beschouwd als 'proceseigenaar' in de risicomatrix, heeft de Risk Manager een belangrijke inbreng.
Inbedding in framework van corporate governance
De risico's van datalekken en inbreuk op (persoonlijke) gegevens moet een vast onderdeel zijn van de hele set aan compliance maatregelen. Met name binnen de grote Europese concerns is veel voortgang geboekt om de privacywetgeving een plek te geven in het framework van corporate governance. Het al bestaande kader is benut als uitgangspunt om ook GDPR en de GDPR-compliance als element toe te voegen. Het advies is: benader GDPR als een risico zoals elk ander en tref daarop je maatregelen. It’s just another risk like many others.
Uit het onderzoek van FERMA en ECIIA blijkt dat 82% van de organisaties een Data Protection Officer heeft aangesteld. Meestal betreft het ervaren mensen die intern goed zijn ingevoerd in de organisatie en bekend zijn met processen en procedures. De organisatorische plek van een DPO is in de meeste gevallen in een juridische afdeling of binnen de afdeling compliance.
Uitwisseling van informatie
In 9% van de gevallen was de DPO een Risk Manager. Soms worden beide rollen gecombineerd in één functie. Gezien de raakvlakken met Risk Management en Internal Audit wordt er logischerwijs veel informatie uitgewisseld met de DPO, geformaliseerd maar ook op informele basis. De uitwisseling van gegevens gaat over zaken als risk mapping, risk assessments, data-analyse, rapportages aan de top van de onderneming en de vertrouwelijkheid van data.
Three lines of defense
In het model van 'Three lines of defense' wordt de DPO beschouwd als onderdeel van de tweede verdedigingslinie, net als Risk management en Internal Audit. Hoe om te gaan met privacy en persoonsgegevens is vooral ook een verantwoordelijkheid van de business zelf. Voorlichting, training en monitoring zijn belangrijk en ook IT-systemen kunnen hiervoor worden ingezet.
De DPO is de verantwoordelijke functionaris voor geregelde rapportages aan het senior management en aan de 'Board'. Risk Managers leveren hiervoor input. Ook in hun eigen rapportages aan het hogere management hebben Risk Managers (en Internal Auditors) elementen over privacy en dataprotectie toegevoegd aan hun rapportages.
.jpg)
Wat zijn de grootste uitdagingen op het gebied van GDPR?
De gevolgen voor reputatieschade worden door de Risk Managers als grootste bedreiging gezien, gevolgd door compliance-risico's en operationale risico's.
De grootste uitdaging is de onzekerheid en complexiteit wat betreft de reikwijdte en toepassing van de GDPR-regels op bestaande businessprocessen en systemen. De snelle ontwikkelingen op het gebied van informatietechnologie maken het moeilijk om alle veranderingen bij te houden en in te bedden. Ook de informatie die is opgeslagen in verouderde IT (Legacy IT) is een punt van zorg, met name vanwege het risico dat persoonlijke informatie in dit soort systemen niet wordt meegenomen in assessments en dergelijke.
Verschillen in nationale wetgeving
Ook verschillen in nationale interpretaties van de Europese regelgeving worden als een risicofactor gezien. Met name internationaal opererende bedrijven merken dat ze met verschillen in nationale wet- en regelgeving te maken krijgen. Dat kan leiden tot ongelijke behandeling in diverse landen en daardoor kunnen onbedoeld concurrentienadelen ontstaan.
Daarnaast mag de GDPR-regelgeving geen remmende werking hebben op innovaties en het gebruik van (nieuwe) technologieën. Ook de inbedding van GDPR in overeenkomsten en contracten is nog altijd een aandachtspunt. Hoe moet je als organisatie vanuit de privacyregelgeving omgaan met (bijvoorbeeld) het inzetten van Internet of Things (waarmee dat verzameld kan worden) en gezichtsherkenning.
Permanente inspanning blijft vereist, terwijl dit de processen ook weer niet mag vertragen. Zelfs niet als dit kritisch of tijdgevoelig is, zoals sommige processen in de gezondheidszorg.
Een positief effect van de invoering van GDPR is dat veel organisaties zich veel bewuster zijn gaan gedragen waar het gaat om het verzamelen, vastleggen en gebruiken van persoonlijke en privacygevoelige gegevens. Veel organisaties hebben een beter beeld van hun rollen en verantwoordelijkheden hoe om te gaan met privacygevoelige informatie.
Links
Rapport 'GDPR impacts on corporate governance' downloaden »
Info GDPR op FERMA-website »
