Finance Professional Panel 2017 - Globalisering & digitalisering: wie niet mee is, is gezien ! (deel 2)

In de bijeenkomst op 16 juni, werd het panel de vraag gesteld in hoeverre ze op de hoogte en/of betrokken zijn bij de invoering van de Global Data Protection Regulation in hun specifieke bedrijfsomgeving. 

Het goede nieuws uit een eerste rondvraag is dat het voltallige panel op de hoogte is van wat GDPR inhoudt en weet dat het bedrijf acties onderneemt. Algemeen geweten is de datum van inwerkingtreding en de hoogte van de boetes. Opvallend is wel dat het de benadering nog weinig concreet is en heel veel openstaande vragen bevat.

Wie in het GDPR implementatie project betrokken is en onder wiens verantwoordelijkheid het valt, wordt uiteenlopend  ingevuld. Het blijkt dat de CFO wel op de hoogte is, maar dat vooral het 'legal' en het 'risk' departement aan het stuur zitten. Verder zijn in de bedrijfsomgeving van onze panelleden ook de departementen IT & 'audit' vaak betrokken.

Bij de bedrijven met een structuur die buiten Europa reikt, is het project nog moeilijker te omschrijven, aangezien data uiteraard wel de grenzen van Europa overgaan, maar de reikwijdte van de regelgeving niet.

De B2B- of B2C-activiteit van een bedrijf heeft een grote impact op zowel de grootte van het inpmlementatieproject, als op het risico om via een klacht in het boeteproces te landen. Ook het aantal en de aard van externe partners waarmee een bedrijf samenwerkt (denk maar aan sociaal secretariaten bijvoorbeeld), vergroten de complexiteit en beperken het eigen controleveld.

Door de Europese allignering werd aangekondigd dat bedrijven kosten zouden sparen. Niettemin zien onze panelleden vooral de kosten stijgen in het opzetten en de uitvoering van actieplannen. Als er al budget wordt voorzien, lijkt dit vooral voor consultancy services te zijn. Ook verzekering tegen dergelijke risico’s in de polis voor cyberrisico’s, lijkt een aantrekkelijk optie.

Vandaar de poging van een aantal bedrijven om een breder doel dan enkel compliance na te streven. We zien daarom een koppeling van het GDPR-project aan DQ-projecten en aan duidelijke richtlijnen aan sales- en marketing-teams.

Naast de concrete stappen die worden gepland, blijft er toch een sterke twijfel bestaan omtrent de praktische haalbaarheid van een waterdichte implementatie. Er wordt eerder gestart vanuit de vraag “hoe organiseren we ons & documenteren we onze efforts om een data breach te voorkomen”, dan vanuit het nastreven van 100 % compliance. In een digitale wereld is “the right to be forgotten” immers een illusie. Eens je persoonsgegevens hebt verstrekt, zet je die als een papieren bootje op een grote oceaan. M.a.w., vergeet dat je nog kan controleren waar het terecht komt.

De panelleden geven aan dat ze vooral behoefte hebben aan praktische checklist voor self assessment, voorbeelden van actieplannen & procedures en templates voor disclaimers & communicatie naar partners. Een tip die Wolters Kluwer meeneemt voor productontwikkeling.

Meer over GDPR leest u hier.    

Gepubliceerd op 28-07-2017

  534