De invoering van de General Data Protection Regulation(GDPR) kan voor flinke hoofdbrekens zorgen. De vernieuwde privacywet brengt nieuwe verplichtingen. En diverse onderdelen van de wet zijn zeker nog voor interpretatie vatbaar. Als je als middelgrote tot grote organisatie nog moet beginnen met de implementatie van de wet begint de tijd inmiddels te dringen. Wat hoewel mei 2018 nog redelijk ver weg klinkt, is het zover voor we er erg in hebben.

De implementatie van de GDPR wordt vaak als omvangrijk en complex gezien. De juridische tekst is soms lastig naar de praktijk te vertalen. Goede en eenduidige zienswijzen zijn er nog maar in beperkte mate. En jurisprudentie moet de komende jaren nog gevormd worden. Heeft je organisatie een risicomijdend karakter? Dan doe je gemakkelijk te veel. Zoek je graag de grenzen van de wet op? Dan doe je vermoedelijk te weinig.

Moet je als organisatie nog beginnen met de GDPR-implementatie en verwerk je in een complexe IT-omgeving een aanzienlijke hoeveelheid (of zeer gevoelige) persoonsgegevens? Dan is het hoog tijd om aan de slag te gaan. De onderstaande pragmatische aanpak kan je helpen om snel zicht te krijgen op de belangrijkste aandachtspunten.

Wet -> GAP Analyse (evt ook PIA) -> backlog -> sprints -> Klaar voor de GDPR

De Wet
Nederland had met de WBP (vergeleken met sommige andere Europese landen) al een redelijk vooruitstrevende privacy wet. Veel onderdelen uit de GDPR zijn in Nederland daarom al regel en vragen hopelijk weinig nieuwe inspanning. Heb je als organisatie de WBP altijd al serieus genomen? Dan is het verstandig om je te focussen op de verschillen. Belangrijke onderwerpen zijn daarbij: documentatie, de vernieuwde rechten van betrokkenen (vaak de klanten of medewerkers), privacy by design & by default en de PIA.

De GAP Analyse
Door op GDPR-specifieke onderwerpen per verwerking (per bedrijfsapplicatie/-proces waar persoonsgegevens worden verwerkt) een GAP-analyse uit te voeren kan snel in kaart worden gebracht waar de aandachtspunten zich bevinden. De acties worden concreet door aan de resulaten van de analyse (iets voldoet wel of niet) meteen toe te voegen wat er moet gebeuren en wie daar voor nodig is. Via de volgende link is eenvoudig een online GDPR Gap Analyse uit te voeren: http://www.classity.nl/beveiligingsnieuws/GDPR-Gap-Analyse--wat-moet-ik-... (vrij toegankelijk). Bij het volledig beantwoorden van de vragen beschik je ook meteen over een verwerkingsregistratie, een eerste stap in het voldoen aan de documentatieplicht.

PIA
Indien de verwerkte gegevens daar aanleiding toe geven (of je een vollediger beeld wilt krijgen van de passende privacymaatregelen) is het verstandig (en soms verplicht) om tevens een PIA uit te voeren. Daar waar je er met een eenvoudige GDPR GAP-analyse voor kunt kiezen om vooral naar de GDPR vernieuwing te kijken, helpt een PIA je om verplichtingen mee te nemen die er ook in de WBP al waren.

Backlog
De GDPR-activiteiten kunnen nadat ze in kaart zijn gebracht via het reguliere proces worden opgepakt. Als er in de organisatie Agile wordt gewerkt is het een eerste stap om de activiteiten op de backlog te plaatsen.

Sprint (uitvoeren)
Na het verfijnen en inplannen van de werkzaamheden kunnen ze ingesprint worden. De hoeveelheid werk per sprint is uiteraard afhankelijk van de resources, de gehanteerde lengte van de sprint en het aantal sprints dat nog resteert tot 25 mei.

Te laat
Kom je in de knel om alle werkzaamheden voor 25 mei af te hebben? Zorg dan dat ze op basis van de bijbehorende risico's goed prioriteert. Binnen de GDPR gaat het voor een groot deel ook over "kunnen aantonen" en "grip hebben op". Geen enkele organisatie is volledig risico vrij. Als je zorgt dat je de grootste risico's altijd oppakt en de kleinere tekortkomingen goed prioriteert en plant dan kun je (mocht je getoetst worden) laten zien dat je "in control" bent.