Waarom CFO de GDPR moet oppakken

Van een dergelijk complex project, waar zo veel regels en risico’s aan vastzitten, kan de verantwoordelijkheid het beste op C-level liggen, zo wordt betoogd in een whitepaper van Exact. Het stuk geeft vijf redenen waarom de verantwoordelijkheid voor naleving van de GDPR bij de CFO zou moeten liggen. 

Compliance en risicomanagement is taak van de CFO

De afgelopen tien jaar zijn risico’s die van invloed zijn op strategie en resultaat, exponentieel toegenomen. Vooral digitale innovaties jagen de veranderingen aan. Tegelijkertijd is er steeds meer complexe regelgeving waar organisaties aan moeten voldoen.  

De CFO heeft een leidende rol in het beheersen van risico’s en de integratie in de bedrijfsstrategie. De basis van goed risicomanagement is dat processen helder zijn gedefinieerd en gedocumenteerd. Dit moet vervolgens niet alleen aan de top blijven liggen, maar juist door de gehele organisatie doorsijpelen. Omdat het hier om meer gaat dan financiële risico’s, moet de CFO hier z’n beleid breder uitzetten. 

Boetes bedreigen financiële instabiliteit

Elke organisatie die persoonsgegevens verwerkt, moet vanaf 25 mei aan kunnen tonen dat deze verwerking voldoet aan de basisprincipes van de GDPR. Ook moet een bedrijf uitleggen waarom het gegevens vastlegt, waar ze staan en of de veiligheid ervan gewaarborgd is. 

Voldoe je hier niet aan, dan kunnen de boetes in de miljoenen lopen. Een groot risico dus. Hoe ga je hier mee om als CFO? Reserveer je geld? Of ga je er vanuit dat het zo’n vaart niet zal lopen? Het beste is om nu al met de GDPR aan de slag te gaan, voordat het een financieel probleem wordt. 

CFO moet cyber-kloof dichten

Het risico op datalekken groeit enorm hard. Dit heeft bijvoorbeeld te maken met de kwetsbaarheden van apparaten van The Internet of Things of door de grote hoeveelheden systemen waarmee gewerkt wordt. Toch worden niet alle bedreigingen opgemerkt, laat staan dat er op geanticipeerd wordt. Processen zijn niet altijd op orde. 

De CFO is binnen veel organisaties verantwoordelijk voor IT en is daarmee de aangewezen persoon om een bijdrage te leveren aan cybersecurity. In de praktijk wordt cybersecurity nog bij IT ondergebracht. Deze afdeling heeft echter te weinig zicht op wat de cruciale onderdelen van de onderneming zijn. Daardoor kunnen niet de juiste beslissingen genomen worden. De CFO heeft dit inzicht wel. Net als bij andere risico’s moet de CFO goed weten wat er wordt beschermd en wat niet, en wat relevant is en om de juiste investeringsbelissingen te maken. 

GDPR biedt ook kans

Meer en meer organisaties zijn doordrongen van de kansen die de slimme inzet van data biedt. Toch beheren veel bedrijven hun data erg slecht. En dat is zonde, met het oog op de toekomst. 

Om te voldoen aan de GDPR moeten bedrijven hun processen helder en inzichtelijk hebben. Gegevens moeten in één bron beschikbaar zijn. Kortom, voldoen aan de GDPR betekent dat de processen van het bedrijf worden geoptimaliseerd en dat daardoor de inzet van data ook eenvoudiger wordt. Voor de CFO die meer aan de slag wil met de inzet van data op strategisch vlak, biedt de GDPR dus een grote kans

Efficiëntere organisatie 

Ook voor financiële afdelingen zelf moeten goed opletten bij de naleving van de GDPR. Denk bijvoorbeeld aan alle persoonsgegevens die bij een factuur gebruikt worden. Welke gegevens moet je bewaren en welke kunnen geanonimiseerd worden? Waar staan die gegevens? 

Lastige vragen die de GDPR opwerpt. Maar ook op dit terrein biedt de nieuwe wet een kans., namelijk om het functioneren van de afdeling te verbeteren. Denk aan het normaliseren van de gegevens en het verzamelen van gegevens op één locatie. Dit vereenvoudigt analyse en het rapportageproces. De GDPR leidt dus tot minimalisering van risico’s en tot een efficiëntere organisatie.  

Meer lezen over dit onderwerp? Lees hier de whitepaper ‘5 argumenten waarom de CFO de lead moet nemen bij de GDPR’.