GDPR-compliance: hoe doe je dat?

Elke organisatie moet vanaf 25 mei 2018 voldoen aan de richtlijnen van de General Data Protection Regulation ('GDPR') - Algemene Verordening Gegevensbescherming ('AVG') in het Nederlands - voor het verwerken en opslaan van privacygevoelige informatie. Een kernelement hierbij is dat je kunt herleiden waar die informatie is opgeslagen en wordt gebruikt.

De invoer van de GDPR heeft grote gevolgen voor de informatiehuishouding van organisaties. Toch had deze nieuwe Europese privacywetgeving niet veel later moeten komen. In het bedrijfsleven wordt sinds enkele jaren namelijk steeds meer geïnvesteerd in technologie voor (big) data en analytics. Bedrijven verzamelen daarnaast steeds meer data, zowel van binnen als buiten de organisatie, met als doel hun processen te verbeteren, nieuwe verdienmodellen bloot te leggen, maar vooral – in veruit de meeste gevallen – om de klantervaring te verbeteren. Hierbij wordt per definitie met privacygevoelige persoonsgegevens gewerkt, waardoor de vraag rijst of deze dataverzamelingstrend niet ontzettend conflicteert met de doelstellingen van de GDPR. Deze ogenschijnlijk tegengestelde belangen kunnen elkaar echter ook versterken.

Ondanks het feit dat de GDPR snel dichterbij komt, blijkt dat de invoering ervan bedrijven veel zorgen baart. Zoveel zorgen dat 20% van de ondervraagde bedrijven bang is dat de GDPR en bijbehorende boetes de continuïteit van de bedrijfsvoering in gevaar brengen.

Maar liefst 86% van de bedrijven geeft aan dat non compliance hun bedrijf serieuze problemen zal geven. Daarnaast geeft 47% van de bedrijven aan dat ze niet verwachten op tijd klaar te kunnen zijn. Gedwongen ontslagen en krimp als gevolg van hoge boetes en reputatieschade worden door 21% van de bedrijven nu reeds voorzien. Grote ondernemingen verwachten gemiddeld €1.3 miljoen kwijt te zijn aan hun compliance. Hoe moet dat dan voor alle middelgrote en kleine ondernemingen?

Verder wordt benadrukt dat de wet ook geldt voor organisaties buiten de EU die persoonlijke gegevens van Europese burgers opslaan of verwerken. Dit vergroot de impact nog verder. De vraag is nu hoe al deze bedrijven het beste kunnen omgaan met deze nieuwe situatie. Burgers krijgen namelijk weer de controle terug over wat bedrijven met hun persoonsgegevens kunnen en mogen doen, maar de bedrijven die deze gegevens beheren moeten dit vervolgens faciliteren en alle persoonsgegevens inzichtelijk maken.

Uitgangspunten van de GDPR

De belangrijkste uitgangspunten van de GDPR zijn:

• Dataminimalisatie – de hoeveelheid persoonsgegevens die wordt opgeslagen moet tot een minimum beperkt worden.
• Transparantie – organisaties moeten zowel de regelgevende instanties als de burgers zelf inzicht kunnen geven in waar privacygevoelige gegevens opgeslagen en gebruikt worden.
• Integriteit – de beveiliging van en toegang tot persoonsgegevens moet optimaal geregeld zijn en inzichtelijk gemaakt worden.
• Opslagbeperking – gegevens moeten waar mogelijk zoveel mogelijk worden geanonimiseerd of worden voorzien van pseudoniemen.
• Doelbinding – gegevens mogen alleen worden verzameld voor een beoogd doel en niet zomaar worden opgeslagen.

Met name waar het gaat om transparantie zullen bedrijven die zich recent met business intelligence en analytics zijn gaan bezighouden veel herkennen. Die hebben namelijk aan den lijve ondervonden wat het betekent om gestructureerd(er) met hun data om te gaan. Waar komen de gegevens vandaan? Waarvoor worden ze gebruikt en op welke plaatsen zijn ze precies opgeslagen?

Onderdeel van de GDPR-compliance is helderheid geven over welke systemen data verwerken en hoe in deze systemen rekening is gehouden met de privacy (privacy by design). Daarnaast moet helder zijn wat de grondslag is voor de verwerking en welke doelen worden nagestreefd, hoe contracten met bewerkers zijn opgesteld en hoe een aantal verplichte procedures, bijvoorbeeld op het gebied van dataretentie en verwijdering, worden ondersteund. Veel vragen en, als je het niet goed doet, heel veel werk. Het is onontkoombaar dat dit alles vraagt om de invoering van processen en rapportages die nodig zijn om aan de GDPR te kunnen voldoen.

Datahandel en datagraaien

De GDPR maakt in feite een eind aan het klakkeloos verzamelen, opslaan en verhandelen van privacygevoelige gegevens. Bedrijven moeten inzichtelijk maken welke persoonsgegevens precies opgeslagen worden en voor welk doel. En bovendien moet de burger daar zelf toestemming voor geven en moet hij deze op een later moment ook weer kunnen intrekken. Dat is goed nieuws voor de Europese burger, die hiermee weer de controle terug krijgt over waar en door wie zijn persoonlijke gegevens gebruikt worden.

Het probleem is echter dat de meeste bedrijven geen centraal inzicht hebben in waar persoonsgegevens precies zijn opgeslagen. Dat kan namelijk in een traditionele situatie al op allerlei verschillende plekken zijn. Denk bijvoorbeeld aan een CRM, e-commerce website, e-mailmarketingprogramma, Business Intelligence software op desktop-pc’s of laptops, Excel-spreadsheets en zelfs een fysieke dossiers. De uitdaging wordt nog veel groter als er met big data-oplossingen als Hadoop wordt gewerkt. Dan wordt het nog veel lastiger om aan regulerende instanties te melden welke data er zijn opgeslagen, waar ze vandaan komen en of ze ook accuraat zijn.

Toekomstbestendige oplossingen

Een deel van de oplossing voor deze uitdaging is het algehele beheer, de distributie en het gebruik van data binnen een organisatie samen te brengen in een centraal analyse-platform. Hiermee kunnen organisaties de controle terugpakken over hun data die noodzakelijk is om aan de strenge eisen van de GDRP te voldoen.

Daarnaast zal een specifieke, op de GDPR toegespitste GRC-oplossing veel hulp bieden bij het inzichtelijk maken van de risico’s rondom het verwerken van persoonsgegevens, de beheersmaatregelen die daarvoor moeten worden ingericht en de controle die op dit alles moet worden uitgeoefend. De beheersing van GPDR-risico’s opzetten via het vullen en bijhouden van Excel-spreadsheets is bij namelijk voorbaat kansloos. Dit geldt zeker voor (middel)grote organisaties.

Een centraal analyse-platform en een GDPR-GRC-oplossing kunnen samen een brug vormen naar GDPR-compliance. Behalve GDPR-compliance kan hiermee bovendien het fundament worden gelegd om een datagedreven organisatie te worden.

Meer weten?

Het advies is om tot actie over te gaan. Wij praten u graag bij. In één dagdeel kijken we hoe de verschillende aspecten van de wet van toepassing zijn op uw organisatie. Praktisch en resultaatgericht. We leggen uw gegevens gestructureerd vast zodat de eerste stap richting compliance is gezet. Tenslotte stellen we samen een actieplan op. Helder en gestructureerd. Neem vandaag nog contact met ons op via info@duroi.am of bel en plan een afspraak die u uit de problemen houdt.