Nu we vijf jaar zijn verstreken sinds de introductie van de AVG, bekijken we welke impact deze heeft gehad op degenen die het werk doen dat er het meest door is getroffen. Dan Raywood praat met vijf mensen die verschillende rollen vervullen op het gebied van cyberbeveiliging om de algehele impact op hun werk te begrijpen.

Jon Baines, DPO, Mishcon de Reya

Welke invloed heeft de AVG volgens u op uw rol van dag tot dag in de afgelopen vijf jaar?

Wat veel mensen missen aan de AVG is dat deze de bestaande wetgeving niet zoveel heeft veranderd – de meeste definities, principes, verplichtingen en rechten bestonden al onder de Gegevensbeschermingsrichtlijn uit 1995 (geïmplementeerd in het Verenigd Koninkrijk door de Data Protection Act 1998). Wat wel veranderde was de focus. Dat had te maken met twee belangrijke samenhangende redenen: 1) de handhavingsregeling onder De AVG heeft de potentiële maximale boetes enorm verhoogd – in Groot-Brittannië was het vorige maximum £500,000 geweest, en nu was het €20 miljoen of 4% van de mondiale jaaromzet geworden, en in sommige EU-landen hadden hun eerdere wetten zelfs helemaal geen boetes toegestaan; 2) De AVG kreeg enorme publiciteit (met de steun van aanzienlijke EU-financiering), wat ertoe leidde dat gegevensbescherming een onderwerp in de bestuurskamer werd, wat zelden of nooit eerder het geval was geweest.

Het gevolg voor iemand als ik, die als adviseur optreedt, is dat er een beroep op mijn diensten werd gedaan op een manier en met een frequentie die ik nog nooit eerder had gezien. Als je daarbij de complexiteiten optelt die de Brexit destijds met zich meebracht, met het behoud van de AVG als de ‘Britse AVG’ maar met een heel nieuw binnenlands regime om rekening mee te houden, zijn de afgelopen vijf jaar hectisch en uitdagend geweest (maar enorm interessant!)

Het is duidelijk dat het de DPO-rol heeft gecreëerd. Hoe zit het met de toegangsverzoeken van betrokkenen? Is dat externe deel van uw rol net zo cruciaal als de algehele interne gegevensbescherming intern?

DPO’s bestonden al vóór de AVG. Maar u heeft gelijk als u zegt dat de AVG ze op een wettelijke basis heeft geplaatst. Op dezelfde manier waren SAR’s niet iets nieuws, en hadden ze in Groot-Brittannië al sinds 1984 (!) een wettelijke status, en DPO’s en advocaten waren er al goed aan gewend om ermee om te gaan, maar om de redenen die in het eerste antwoord werden gegeven, werden SAR’s veel bekender nadat de AVG van kracht werd.

Bovendien mochten organisaties niet langer de kleine vergoeding in rekening brengen die ze voorheen wel konden. Bij de meeste organisaties zijn de ontvangen aantallen over het algemeen gestegen, en ook de klachten bij de Information Commissioner daarover zijn gestegen.

Als iemand die externe zakelijke klanten adviseert over hoe ze erop kunnen reageren, maar ook individuen adviseert over hoe ze deze kunnen maken, weet ik hoe uitdagend ze kunnen zijn om mee om te gaan, hoe nuttig ze kunnen zijn voor degenen die ze maken, maar ook hoe frustrerend en duur het proces is. kan voor beide kanten zijn. Ze verdwijnen niet – de huidige wet op gegevensbescherming en digitale informatie zal ze behouden, met waarschijnlijk kleine wijzigingen – en ze moeten nu worden gezien als onderdeel van de reguliere werkzaamheden van de meeste, zo niet alle, organisaties, en ook als een waardevol instrument voor individuen die hun rechten willen doen gelden.

Bronwyn Boyle, voormalig CISO en cybersecurityspecialist in de financiële dienstverlening

Welke invloed heeft de AVG volgens u op uw rol van dag tot dag in de afgelopen vijf jaar?

Hoewel beveiliging historisch gezien vaak werd gezien als een technisch probleem, fungeerde de AVG als katalysator om silo’s af te breken en een meer holistische en collaboratieve benadering van beveiliging te stimuleren. Het verhoogde het profiel van de beveiliging, waarbij directies en C-Suites terecht transparant inzicht eisten in de voortdurende prestaties van beveiligingscontroles en het beheer van de daarmee samenhangende risico's.

Velen van ons in de veiligheidsgemeenschap waren opgetogen toen ze een duidelijke verschuiving in de dynamiek zagen. In plaats van te vechten om boodschappen gehoord te krijgen, werden CISO's uitgenodigd om aan tafel te gaan zitten en bij te dragen aan de organisatiestrategie.

In hoeverre heeft deze regelgeving inzake gegevensbescherming en gebruikersprivacy invloed gehad op de algehele informatiebeveiliging?

De AVG heeft een fantastische kans geboden om de samenwerking te verdiepen en het wederzijds begrip tussen organisaties te verbeteren. Bedrijfs- en beveiligingsteams blijven nauw samenwerken en zorgen ervoor dat persoonlijke gegevens gedurende de hele levenscyclus worden beschermd. Het is geweldig om te zien hoe GDPR kan fungeren als een gedeeld raamwerk om de vele verschillende teams die op verschillende punten met persoonlijke gegevens te maken hebben, samen te brengen. Ik ben blij om te zien hoe de AVG voor blijvende verandering heeft gezorgd in het verbeteren van de cross-functionele samenwerking.

De AVG heeft als cultureel scharnierpunt gefunctioneerd: zowel werknemers als eindgebruikers zijn zich beter bewust geworden van de waarde van hun gegevens en de noodzaak om deze veilig te houden door middel van veilig gedrag. Het blijft ook leiden tot beter bedrijfsgedrag, waarbij bedrijven ter verantwoording worden geroepen voor het schenden van de rechten van betrokkenen. In het huidige klimaat van data-hongerige AI-experimenten en snelle adoptie is dit soort beveiliging meer dan ooit nodig.

Eduardo Ustaran, mondiaal co-hoofd van de Privacy- en Cybersecurity-praktijk, Hogan Lovells

Welke invloed heeft de AVG volgens u op uw rol van dag tot dag in de afgelopen vijf jaar?

Na de eerste tsunami aan werk na de implementatie van de AVG is er de afgelopen vijf jaar sprake van een consolidatie van kwesties die vanuit complianceperspectief de topprioriteiten zijn geworden. Belangrijke inspanningen zijn besteed aan het op orde krijgen van de basisprincipes (van wettige gronden tot transparantie), het aanpakken van de rechten van individuen en, uiteraard, internationale gegevensoverdrachten.

Misschien wel het meest opwindende onderdeel van de AVG vanuit een dagelijks perspectief is de manier waarop je een aantal nieuwigheden onder de knie kunt krijgen, zoals het implementeren effectbeoordelingen op het gebied van gegevensbescherming, het helpen van DPO's met hun verantwoordelijkheden en het voldoen aan de vereisten voor het melden van datalekken.

Denk je dat mensen begrijpen waar het over gaat, waarom het is geïntroduceerd en wat het oplevert?

Mensen erkennen absoluut dat GDPR gegevensbescherming werkelijkheid maakt. Iedereen weet ervan en praat erover, hoewel het een andere zaak is of iedereen de nuances en complexiteiten van de wet begrijpt. Met zijn internationale erkenning is dit het grootste succes van de AVG geweest.

Als je risicogebaseerde regelgeving hebt, is het een uitdaging om duidelijk te begrijpen wat die regelgeving doet, omdat dezelfde verplichtingen op verschillende manieren van toepassing zijn, afhankelijk van de omstandigheden. Bovenal bestaat er een vrij universele erkenning dat de AVG gaat over het verantwoord omgaan met persoonlijke informatie en dat deze de ontwikkeling van technologie of het zakendoen niet in de weg staat.

Neil Thacker, CISO, Netskope

Welke invloed heeft de AVG volgens u op uw rol van dag tot dag in de afgelopen vijf jaar?

De AVG heeft een directe impact gehad op mijn rol als CISO bij Netskope, maar het begon bijna zeven jaar geleden met de voorbereiding op de AVG. Hoewel veel van de fundamentele controles niet drastisch zijn veranderd ten opzichte van de Britse DPA, is het belang van gegevensbescherming en gegevensbeheer, vooral bij het tonen van volwassenheid en rapportage over die periode, toegenomen.

Dit belang wordt niet alleen intern gevoeld, maar ook bij externe leveranciers die betrokken zijn bij de verwerking van welke vorm van persoonlijke gegevens dan ook. We zorgen ervoor dat al onze leveranciers voldoen aan strenge eisen om ervoor te zorgen dat zij, optredend als subverwerkers, ook voldoen aan de hoge normen die wij hanteren op het gebied van gegevensbescherming.

Het was een zeer positieve ervaring, vooral omdat we veel van de taken hebben geautomatiseerd die te maken hebben met het beheer van leveranciers, het beveiligen van nieuwe gegevensstromen en het beschermen van persoonlijke gegevens in rust en in beweging.

Dominic Vogel, oprichter en hoofdstrateeg, Cyber.sc

Heeft u het gevoel dat de AVG de manier waarop u werkt de afgelopen vijf jaar heeft beïnvloed?

Het korte antwoord is absoluut! Mijn werk richt zich voornamelijk op MKB-bedrijven in de B2B-ruimte, en het is een verschil van dag en nacht in de manier waarop privacy prioriteit krijgt. Al mijn klanten die in Europa aanwezig willen zijn, bouwen automatisch met privacy in gedachten; zelfs organisaties die geen zaken in Europa hebben, verkopen mogelijk aan organisaties die dat wel doen, en als gevolg van de manier waarop de AVG verweven is in het bredere due diligence-onderzoek in de toeleveringsketen, moeten deze organisaties de naleving van de AVG bewijzen.

Bestaat er begrip van wat de AVG van buiten Europa wilde bereiken?

Tot op zekere hoogte verschilt het begrip zeker per sector: er zijn nu MKB-bedrijven die over solide privacyprogramma's beschikken en privacy by design integreren. Dat was voorheen niet het geval. De AVG luidde hier in Noord-Amerika een zinvoller tijdperk van privacydiscussies in. Als gevolg hiervan zien we steeds meer verbeterde en gemoderniseerde privacywet- en regelgeving.

Er wordt gespeculeerd dat er andere regelgeving zou kunnen worden gecreëerd om de AVG te repliceren. Ziet u enig direct bewijs dat dit gebeurt?

Ik zou niet zeggen dat ik enig “direct bewijs” heb gezien, maar omdat de technologie snel verandert en evolueert (AI iemand?), is het nodig om privacywetten zoals GDPR actueel en bijgewerkt te houden. We kunnen geen privacywetten meer schrijven die tientallen jaren onveranderd kunnen blijven. Ze zullen wendbaarder en vaker moeten worden vernieuwd om gelijke tred te houden met de technologie.

Conclusie

Als we kijken naar de impact van de AVG, is het duidelijk dat deze regelgeving transformatieve veranderingen in de gegevensbeschermingspraktijken wereldwijd teweeg heeft gebracht. De AVG heeft individuen meer macht gegeven, hogere normen gesteld en een mondiale dialoog over privacy en gegevensbeveiliging bevorderd.

De harmonisatie van de wetgeving inzake gegevensbescherming in de EU-lidstaten is een belangrijke prestatie geweest, die een uniform kader biedt voor bedrijven en privacyprofessionals. Het vereenvoudigt compliance-inspanningen en zorgt voor consistente normen over de grenzen heen en voor bedrijven. Deze harmonisatie moet als model dienen voor verdere standaardisatie, het verbeteren van de handhaving en het mogelijk maken van een beter begrip en toepassing van regelgeving.

Met meer dan 140 data Privacy regelgeving die nu mondiaal van kracht is, is er echter weinig harmonisatie voor bedrijven die moeten voldoen aan deze vele uiteenlopende regionale en landspecifieke regelgeving buiten die van de AVG. De komende vijf jaar zal het beheersen van de complexiteit van compliance een voortdurende uitdaging zijn.

Hoewel uitdagingen op het gebied van compliance misschien lastig lijken, is het van essentieel belang om de waarde van effectieve software voor compliancebeheer te onderkennen. Robuuste implementatie van software voor naleving stroomlijnt processen, elimineert repetitieve taken en stelt organisaties in staat zich te concentreren op specifieke complianceverschillen. Door gebruik te maken van compliancesoftware kunnen bedrijven waardevolle tijd en middelen besparen, de interne efficiëntie verbeteren en toezichthouders voorzien van bewijs van compliance.

In de week dat Meta een boete van $1.2 miljard kreeg voor inbreuken op de AVG, is dit een tijdige herinnering voor organisaties om prioriteit te geven aan naleving. Het geeft ook een duidelijke boodschap af: breng uw huis op orde! Organisaties die dit goed uitvoeren, zullen voordelen ontsluiten die veel verder gaan dan naleving van de regelgeving. Goede infosec is goede zaken.