Verschenen in het magazine van Juni 2018
5 Juli 2018 //
Peter Ooms
CFO best geplaatst om GDPR in te voeren en op te volgen
Chubb stelt vast dat klanten nog steeds veel vragen hebben over hoe ze de verplichtingen van de GDPR (General Data Protection Regulation) dienen na te komen. Daarom heeft de verzekeringsmaatschappij in samenwerking met advocatenkantoor Astrea een informatiepakket samengesteld.

Dat de kosten rond datalekken en andere inbreuken soms hoog oplopen, bewijst het voorbeeld van het AZ Turnhout. Het ziekenhuis maakte zelf bekend dat het met een datalek te kampen had. De gegevens van bepaalde patiënten zouden zijn gestolen en er bestond een dreiging om deze openbaar te maken. Het ziekenhuis ging op zoek naar de precieze omstandigheden rond die verloren documenten om zo mogelijk het lek te dichten. Dit leidde tot substantiële kosten voor het ziekenhuis.

 

Twintig miljoen euro boete


“Indien een dergelijk datalek zich had voorgedaan na 25 mei 2018, de datum waarop de GDPR in werking trad, waren de gevolgen voor het ziekenhuis veel ernstiger geweest. Als het niet had kunnen aantonen dat het de wettelijke vereisten van GDPR was nagekomen (waaronder het treffen van gepaste technische en organisatorische maatregelen, het bijhouden van een intern register, het uitvoeren van een data protection assessment) dan had het ziekenhuis het risico gelopen op een boete van twintig miljoen euro”, zegt Steven De Schrijver. Hij is advocaat bij Astrea en ondersteunt Chubb, onder andere bij de communicatie naar klanten over de invoering van GDPR.

 

Zesduizend inbreuken


Barry Schütte, manager Industry Practices Benelux van Chubb, wijst erop dat de maatschappij al jaren ervaring heeft met verzekeringen tegen cybercrime. In de meeste gevallen is de oorzaak van de inbreuk te vinden in een opzettelijke inbraak in de ITsystemen (hacking) of een menselijke fout (zie grafiek). In de Europese context loopt Nederland voorop, omdat het al sinds januari 2016 voorzag in een meldplicht voor datalekken. Dat maakt dat Nederlandse organisaties in de loop van 2017 meer dan zesduizend inbreuken hebben gemeld. Op basis van de ervaringen bij onze noorderburen heeft Chubb de dienstverlening ontwikkeld, met informatiepakketten en overlegmogelijkheid met Astrea.

 

Interne procedures


Chubb stelt voor dat bedrijven bij hun GDPR-voorbereiding interne procedures opstellen, zodat ze perfect weten hoe te handelen wanneer zich specifieke problemen voordoen, zoals een datalek of een aanval met gijzelsoftware.

 

Steven De Schrijver: “Een datalek is een heel ruim begrip. Het kan gaan om een hack of cryptolocker- incident, maar evengoed om een medewerker die een papieren dossier vergeet op een publieke plaats of een werknemer die een e-mail verkeerd adresseert. In die gevallen heerst een meldplicht: het bedrijf moet de gegevensbeschermingsautoriteiten op de hoogte brengen van het lek uiterlijk binnen 72 uur indien daar een risico aan verbonden is voor de rechten en vrijheden van de betrokkene. Wanneer de gegevens bijvoorbeeld versleuteld zijn, is er geen risico dat persoonlijke informatie in handen komt van derden. In andere gevallen kan het risico aanzienlijk zijn: bijvoorbeeld als het gaat om privacygevoelige informatie, zoals medische gegevens of kredietkaartinformatie, of wanneer het bedrijf het lek zelf nog niet heeft gevonden en er dus een kans bestaat dat nog meer gegevens naar buiten komen. Indien er een hoog risico is voor de rechten en vrijheden van de betrokkene, moet het bedrijf het datalek zo spoedig mogelijk melden aan de betrokkene zelf. Als het gaat om zeer veel betrokken partijen, is het misschien nodig om de pers in te schakelen om hen op de hoogte te brengen van het datalek.”

 

Rol van finance


CFO’s zullen heel vaak de centrale figuur zijn om de GDPR in te voeren en op te volgen. Die taak sluit aan bij de verantwoordelijkheid voor het risicomanagement. Bovendien zit de financiële afdeling centraal in de organisatie, met goede contacten met alle afdelingen. De financiële afdeling is op verschillende manieren betrokken partij als het gaat om het invoeren van GDPR in een organisatie. Ten eerste zijn er heel wat fi nanciële documenten waar mogelijk persoonlijke gegevens op staan, zoals facturen. Het is van groot belang die op een vertrouwelijke manier op te slaan.

 

“Belangrijk is dan dat de fi nanciële afdeling precies weet waar die documenten – en de eventuele kopieën – zich bevinden. Het klopt dat facturen aan bedrijven niet noodzakelijk onder de GDPR vallen, maar als er contactpersonen vermeld staan op de factuur, dan kan dat zeker wel het geval zijn”, zegt Steven De Schrijver.

 

Toegang verlenen


Dit klinkt eenvoudig, maar bedrijven moeten sinds eind mei ook in staat zijn om betrokkenen toegang te verlenen tot hun gegevens als ze dat vragen. Bedrijven dienen die gegevens in elektronische vorm ter beschikking te stellen. Daarnaast moeten ze kunnen bepalen welke gegevens bewaard moeten worden en welke geanonimiseerd kunnen worden. Tot slot moeten ze ook gegevens kunnen verwijderen op vraag van een betrokken persoon.

 

Steven De Schrijver: “Dat zal vaak in confl ict staan met bestaande praktische regelingen in het bedrijf, zoals bij kredietkaartgegevens van consumenten op een webshop. Maar het kan ook om puur interne documenten over kredietwaardigheid van klanten gaan. Dat moet allemaal gewist kunnen worden, tenzij het nodig is om ze om wettelijke redenen te bewaren.”

 

Efficiëntere organisatie


De nieuwe wetgeving biedt CFO’s ook een kans om het functioneren van hun afdeling te verbeteren. Denk aan de voordelen van het verzamelen van gegevens op één locatie. Dit vereenvoudigt de analyse en het rapportageproces. De GDPR kan zo ook leiden tot een effi ciëntere organisatie. Chubb biedt al een tijdje een cyberverzekering aan met een brede dekking, die bedrijven ook kunnen gebruiken voor GDPR-risico’s. Daarnaast dekt een beroepsverzekering van Chubb eventuele aansprakelijkheid voor schade aan derden rond de GDPR.