Recentelijk is door CTG in België een stresstest rond GDPR ontwikkeld. De nieuwe dienst moet ervoor zorgen dat GDPR-procedures bij bedrijven in Europa geen dode letter blijven. Aan de hand van levensechte simulaties testen privacy-experts of ondernemingen er in de praktijk in slagen een datalek of gegevensverzoek van a tot z aan te pakken volgens de in de wet voorgeschreven procedures en binnen de wettelijke deadlines. 85% van de inbreuken op GDPR gebeurt zonder kwade opzet en door de eigen medewerkers. Maar ze tasten het vertrouwen dat partners en klanten in bedrijven stellen wel ernstig aan. Een simpel voorbeeld is de receptionist(e) die een vraag tot verwijdering uit de bestanden vergeet door te geven of een medewerker die per ongeluk op een phishing mail klikt waardoor gevoelige data op straat komt te liggen.
Stéphanie Van den Eynde, GDPR-expert bij CTG licht het een en ander als volgt toe: “Bedrijven liggen niet alleen wakker van de boetes die gegevensbeschermingsautoriteiten kunnen opleggen, maar ook van de reputatieschade die het niet volgen van de GDPR-procedures met zich meebrengt. Als je als bedrijf vandaag niet kan aantonen dat je alles onder controle hebt op vlak van privacygevoelige data heb je een groot probleem. Of zoals Viviane Reding, voorvechtster van Privacy in het Europees Parlement het verwoordt: ‘The most expensive thing in the world is trust.’”
Evalueren van GDPR-procedures
Met de nieuwe dienst onderwerpt CTG de GDPR-procedures van bedrijven in België aan een stresstest. De experts simuleren een datalek of verzoeken van individuen om bijvoorbeeld persoonlijke data in te kijken of te wijzigen. Aan de hand van die levensechte scenario’s komt snel naar boven hoe goed de verantwoordelijken voor GDPR binnen het bedrijf de procedures kunnen vertalen van papier naar de dagelijkse praktijk en dat binnen de wettelijk voorgeschreven deadlines. Dat gebeurt allemaal in een veilige, vertrouwelijke omgeving zodat bedrijven elk mogelijk incident op voorhand kunnen uittesten en de procedures verbeteren waar nodig.
Stéphanie Van den Eynde vervolgt met: «In de realiteit lopen procedures zelden of nooit volgens het boekje. Bedrijven krijgen onverwachts bezoek van de gegevensbeschermingsautoriteit of moeten opeens kunnen aantonen dat ze de persoonsgegevens van individu x, y of z correct verwijderd hebben. Via onze unieke methode krijgen ze een objectief rapport met verbeterpunten. Dat rapport onderbouwen onze experten met een kwalitatieve analyse en een score. Alleen zo zijn ze 100% zeker dat, als ze ooit te maken krijgen met een datalek of gegevensverzoek, ze de procedures volgens de verplichte standaard privacy procedures behandelen.”