IT-dienstenleverancier CTG heeft in België een stresstest rond GDPR ontwikkeld. De nieuwe dienst moet ervoor zorgen dat GDPR-procedures bij bedrijven in Europa geen dode letter blijven. Aan de hand van levensechte simulaties testen privacy-experts of ondernemingen er in de praktijk in slagen een datalek of gegevensverzoek van a tot z aan te pakken volgens de in de wet voorgeschreven procedures en binnen de wettelijke deadlines.
Een receptioniste die een vraag tot verwijdering uit de bestanden vergeet door te geven of een medewerker die per ongeluk op een phishingmail klikt waardoor gevoelige data op straat komt te liggen. 85% van de inbreuken op GDPR gebeuren zonder kwaad opzet en door eigen medewerkers. Maar ze tasten het vertrouwen dat partners en klanten in bedrijven stellen ernstig aan.
“Bedrijven liggen niet alleen wakker van de boetes die gegevensbeschermingsautoriteiten opleggen, maar ook van de reputatieschade die het niet volgen van de GDPR-procedures met zich meebrengt. Als je als bedrijf vandaag niet kan aantonen dat je alles onder controle hebt op vlak van privacygevoelige data heb je een groot probleem. Of zoals Viviane Reding, voorvechtster van Privacy in het Europees Parlement zegt: ‘The most expensive thing in the world is trust”, aldus Stéphanie Van den Eynde, GDPR-experte bij CTG
Evalueren van GDPR-procedures
Met de nieuwe dienst onderwerpt CTG de GDPR-procedures van bedrijven in België aan een stresstest. Experten van CTG simuleren een datalek of verzoeken van individuen om bijvoorbeeld persoonlijke data in te kijken of te wijzigen. Aan de hand van die levensechte scenario’s komt snel naar boven hoe goed de verantwoordelijken voor GDPR binnen het bedrijf de procedures kunnen vertalen van papier naar de dagelijkse praktijk en dat binnen de wettelijk voorgeschreven deadlines. Dat gebeurt allemaal in een veilige, vertrouwelijke omgeving zodat bedrijven elk mogelijk incident op voorhand kunnen uittesten en de procedures verbeteren waar nodig.
“In de realiteit lopen procedures zelden of nooit volgens het boekje. Bedrijven krijgen onverwacht bezoek van de gegevensbeschermingsautoriteit of moeten opeens kunnen aantonen dat ze de persoonsgegevens van individu x, y of z correct verwijderd hebben. Via onze unieke methode krijgen ze een objectief rapport met verbeterpunten. Dat rapport onderbouwen onze experten met een kwalitatieve analyse en een score. Alleen zo zijn ze 100% zeker dat, als ze ooit te maken krijgen met een datalek of gegevensverzoek, ze de procedures volgens de verplichte standaard privacy procedures behandelen.”