Kansen en uitdagingen van GDPR – wat is GDPR?
De Algemene Verordening Gegevensbescherming (GDPR) is een bindende verordening die door de Europese Commissie in het leven is geroepen. De verordening vervangt de huidige gegevensbeschermingsrichtlijnen van de Europese Unie en diverse nationale wetten.
Tegen 25 mei 2018 zullen de betrokken bedrijven moeten voldoen aan verschillende nieuwe vereisten met betrekking tot het verzamelen en verwerken van persoonsgegevens. De GDPR heeft tot doel de controle en bescherming van persoonsgegevens te versterken door strengere regels en verplichtingen vast te stellen voor organisaties die de gegevens gebruiken. Dit is een belangrijke verandering met gevolgen, aangezien persoonsgegevens in onze moderne digitale wereld van vitaal belang zijn voor de wereldeconomie.
Op welke organisaties heeft het betrekking en wat is de reikwijdte?
De GDPR moet het recht van elke persoon op gegevensbescherming versterken en – op langere termijn – de processen rond op deze gegevens gebaseerde operaties voor organisaties vereenvoudigen. De GDPR is ook ingevoerd om de bestaande – en zeer verschillende – nationale wetten op dit gebied in de EU te harmoniseren. Voor internationale organisaties zal het dus op lange termijn de naleving van de wetgeving vergemakkelijken.
Vanuit mijn persoonlijke ervaring met andere activiteiten op het gebied van gegevensbescherming en naleving in heel Europa kan dit een voordeel zijn en vooral bedrijven die al voldoen aan de strengere regelgeving – bijvoorbeeld in Duitsland – hebben een goede uitgangspositie.
De GDPR is van toepassing op alle organisaties die in de EU zijn gevestigd en op bedrijven buiten de EU, die persoonsgegevens van burgers van de Europese Unie verwerken. Verwerken is in dit geval een brede opsomming van verschillende aspecten zoals verzamelen, registreren, opslaan, gebruiken, enz.
Een zeer belangrijk punt met betrekking tot de werkingssfeer van de richtlijn is, dat gegevens van werknemers ook als persoonsgegevens worden beschouwd en onder dezelfde vereisten vallen.
De juiste vragen om te stellen
Weet u al of uw organisatie een voor de verwerking verantwoordelijke en/of een gegevensverwerker is?
Er is één vraag voor nodig om die te beantwoorden: Vertelt iemand anders u welke gegevens u moet verzamelen en hoe u die moet verwerken? Ja – dan bent u een gegevensverwerker.
Als u zelf bepaalt welke gegevens u verzamelt en verwerkt, dan bent u een gegevensbeheerder en eindverantwoordelijk voor de informatie die u opslaat en gebruikt. In dat geval moet u volledig voldoen aan de GDPR-vereisten. Daarnaast moet u ervoor zorgen dat ook uw zakenpartners die namens u gegevens verwerken, zich eraan houden.
Ook voor gegevensverwerkers zijn er nieuwe voorschriften – vooral met betrekking tot de documentatie van alle gegevensverwerkingsactiviteiten en de noodzaak om die desgevraagd aan de autoriteiten te verstrekken. Ook inbreuken of risico’s op gegevensverlies moeten aan de verantwoordelijke voor de verwerking worden gemeld.
Organisatorische impact
GDPR introduceert nieuwe regels en vereisten op diverse gebieden, zoals transparantie, bekendmaking van inbreuken, privacyeffectbeoordelingen en de manier waarop organisaties toestemming krijgen om persoonsgegevens te gebruiken.
Compliance zal voor organisaties niet alleen een technische uitdaging zijn, maar ook een cross-functionele inspanning. Verschillende afdelingen zoals IT, Marketing, Sales, HR,… die klantgegevens verwerken of delen met externe bedrijfspartners moeten een duidelijk beeld hebben van de gegevensstromen en het eigenaarschap – wie is de verantwoordelijke voor de verwerking van de gegevens en wie is de verwerker? Dit kan een eerste uitdaging zijn voor gegroeide organisaties met een geschiedenis van fusies & overnames, migraties van legacysystemen, gegevensuitwisseling met bestaande en vroegere partners, enz.
Een eerste stap naar meer duidelijkheid is een gestructureerde en bedrijfsbrede beoordeling van bestaande systemen, processen en interfaces met zakelijke partners. Zorg dat u een duidelijk beeld heeft, voordat u tot actie overgaat.
Data Governance
Nu gegevens de kern van de hedendaagse bedrijfsvoering vormen, moet aan de verwerking ervan prioriteit worden gegeven. Gestructureerde en halfgestructureerde gegevens in verschillende databases en transactiesystemen worden vaak niet centraal beheerd, maar gecontroleerd en beheerd door verschillende tools en software. Een ander groot punt van zorg zijn de gegevensverzamelingen die ergens worden opgeslagen of gearchiveerd voor later. Elk bedrijf heeft zijn verborgen gegevensopslagplaats, waar informatie wordt bewaard omdat die in de toekomst interessant kan zijn. Maar niemand kent nog echt de aard en inhoud van deze informatie.
Een strikte data governance-strategie en -proces – systeemonafhankelijk – zal de duidelijkheid en de controle vergroten. Gegevensbeheer, beleid en processen zullen moeten worden herzien, gewijzigd en gedocumenteerd. Er moeten nieuwe processen worden ingevoerd overeenkomstig de nieuwe rechten die aan individuen worden verleend met betrekking tot hun gegevens.
Nieuwe rechten van individuen
Individuen zullen door de GDPR nieuwe rechten krijgen, waarvoor nieuwe processen en technische mogelijkheden nodig zijn. Vijf van de belangrijkste vereisten zijn:
- Verwijdering – Verwijdering en bewijs van verwijdering van alle gegevens indien daarom wordt verzocht
- Toestemming – Het verzamelen van gegevens en het doel van het gebruik ervan kan worden beperkt tot uitsluitend geselecteerde processen
- Aanpassing – personen kunnen verzoeken onvolledige gegevens aan te vullen
- Toegang tot gegevens – Recht om te weten welke gegevens worden verwerkt en hoe.
- Portabiliteit – Persoonsgegevens moeten van de ene organisatie naar de andere kunnen worden overgedragen
Processen toepassen om aan deze nieuwe eisen te voldoen terwijl gegevens in realtime worden verzameld of gecreëerd, is een uitdaging en zoals hierboven vermeld nog uitdagender in combinatie met legacygegevens die net zijn bewaard, gemigreerd, gearchiveerd of zelfs opgenomen in een Big Data-engine die voor geavanceerde analyses wordt gebruikt.
Kansen van GDPR
Het naleven van de nieuwe regels voor het melden van datalekken en de nieuwe rechten van consumenten kan voor organisaties als een uitdaging worden gezien. Vooruitstrevende organisaties kunnen dit echter ook zien als een kans om de nieuwe vereisten te omarmen en afdelingssilo’s en problemen met legacygegevens te overwinnen. Zij kunnen concurrentievoordelen behalen door end-to-end processen te stroomlijnen en door een holistische visie op informatiegovernance toe te passen.
Met meer inzicht in gegevens – een van de belangrijkste bedrijfsmiddelen – kan de informatiewaarde worden verbeterd en kunnen geïntegreerde oplossingen voor het automatiseren van gegevensverwerkingsworkflows een proactief informatiebeheer vergemakkelijken.
Een veranderde mentaliteit en houding ten aanzien van het gebruik van systemen en gegevens zal medewerkers in staat stellen rentmeesters van bedrijfsinformatie te worden en een cultuur te bevorderen waarin gecontroleerde en betrouwbare gegevens worden gezien als brandstof voor het succes van de organisatie. Inzicht in de rol en het belang van informatiebeheer en -governance voor de privacy van gegevens zal een belangrijke succesfactor zijn.
Wilt u meer weten over onze visie op GDPR-compliant informatiebeheer en data governance? Neem dan contact met ons op voor meer informatie en een kop koffie.