GDPR: acteer, investeer en benut de kansen!

Data is everywhere’ is een kreet die je veel hoort als je bij een organisatie werkt waar data waarde oplevert en als een ‘asset’ wordt beschouwd.

En dat klopt. Naast het feit dat we onze gegevens af staan bij organisaties om zaken in orde te maken, regelen we zelf ook steeds meer online en zoeken we continu naar nieuwe informatie om ons leven te vergemakkelijken.

Kortom, we laten we steeds meer onze ‘footprint’ achter, zowel off- als online.

Al deze activiteiten dragen bij aan een gigantische groei aan data die waardevol en cruciaal is voor organisaties. Cruciaal omdat het om data gaat die in systemen vastgelegd is om financiële, HR en marketing processen te ondersteunen. Waardevol omdat er bijvoorbeeld een volledig klantbeeld ontwikkeld kan worden en marktontwikkelingen in kaart gebracht kunnen worden die uiteindelijk bijdragen om ‘new business’ te genereren. Met de huidige technologische ontwikkelingen zal de groei van data de komende jaren alleen maar toenemen. Steeds meer organisaties zullen gaan werken met een cloud oplossing welke dient als data opslag. Data zal dus ten alle tijden op ieder moment voor iedereen beschikbaar komen.

Persoonlijk denk ik dat het een voorrecht is om in deze technologische wereld te leven en probeer ik er zoveel mogelijk de voordelen van in te zien. Tegelijkertijd moeten we ons er ook steeds meer van bewust zijn dat naast voordelen het ook risico’s met zich mee brengt en er een verhoogde aandacht voor security en privacy van ons verwacht wordt. Meerdere malen is ten slotte al gebleken dat de wereld een speelveld is voor kwaadwillende die data hacken of dat er al dan niet bewust informatie wordt gelekt vanuit organisaties.

Door dit soort voorvallen merk je dat security en privacy voor veel organisaties een steeds belangrijker topic is op de agenda. Doet zich onverhoopt toch zo’n voorval voor, dan is de schade vaak niet te overzien en loopt het imago van de organisatie (wereldwijd) een grote deuk op.

Global Data Protection Regulation (GDPR) 

Naast het feit dat organisaties zelf acties kunnen ondernemen om problemen met security en privacy te voorkomen is een gestructureerde aanpak op het gebied van databescherming en dataprivacy cruciaal. Kijkend naar wet en regelgeving worden er ook vanuit het hoogste niveau acties ondernomen. Eén daarvan is de Global Data Protection Regulation (GDPR) wetgeving die op 25 mei 2018 in alle Europese lidstaten van kracht zal zijn.

De GDPR is een Europese verordening die de bescherming van persoonlijke gegevens versterkt en streng optreedt tegen organisaties die de privacy schenden. Enerzijds worden de rechten versterkt om als klant de persoonlijke gegevens die een organisatie vasthoudt in te zien. Anderzijds wordt iedere organisatie verantwoordelijk voor de bescherming van de persoonlijke gegevens die ze voor wat voor doeleinden dan ook vasthouden.

De GDPR heeft als doel om te bouwen aan vertrouwen en databescherming én dataprivacy af te stemmen op de technologische ontwikkelingen. Iedere organisatie die data van personen verwerkt krijgt er mee te maken en dat vereist bewustwording, aanscherping en aanpassing van het interne data management beleid.

De beginselen 

In het kort zijn de beginselen van de GDPR als volgt:

  • Rechtmatigheid, eerlijkheid en transparantie - organisaties moeten zowel de toezichthoudende instanties als klanten zelf inzicht kunnen geven in waar privacygevoelige gegevens opgeslagen en gebruikt worden.
  • Integriteit en vertrouwelijkheid - de beveiliging van en toegang tot persoonsgegevens moet op een gepaste manier geregeld zijn en inzichtelijk gemaakt worden.
  • Dataminimalisatie - de hoeveelheid persoonsgegevens die wordt opgeslagen moet tot een minimum beperkt worden.
  • Doelbinding - gegevens mogen alleen worden verzameld voor een beoogd doel en niet zomaar worden opgeslagen.
  • Opslagbeperking - gegevens moeten waar mogelijk zoveel mogelijk worden geanonimiseerd of worden voorzien van pseudoniemen zodat deze niet te herleiden zijn.
  • Nauwkeurigheid - persoonlijke data moet nauwkeurig zijn en waar nodig geüpdatet worden. Organisaties moeten iedere redelijke maatregel nemen om ervoor te zorgen dat persoonlijke data die niet nauwkeurig zijn wordt gewist of gerectificeerd.
  • Verantwoording door de controller - de organisatie zelf is er verantwoordelijk voor dat er gehandeld wordt in overeenstemming met de GDPR-principes. Bovendien moeten organisaties in staat zijn om dat aan te tonen.

Met name het laatste punt is van belang. Het geeft aan dat organisaties aan moeten kunnen tonen dat alle punten worden nageleefd.

Kortom, de verantwoordelijkheid ligt bij de organisaties en wanneer de GDPR wetgeving niet word nageleefd kunnen (forse) boetes het gevolg zijn

Met de nieuwe wetgeving wordt er een eenduidige werkwijze tot stand gebracht met betrekking tot het beschermen van data en wordt de wetgeving geharmoniseerd over de gehele Europese Unie wat mijn inziens een erg goede ontwikkeling is. De invoering van de GDPR heeft echter wel gevolgen voor de informatiehuishouding van organisaties die niet onderschat mogen worden.

Wat kun je doen?

Om hier op voor te sorteren en niet voor verrassingen te komen staan kun je denken aan een aantal zaken die je als organisatie kunt doen om hier op voorbereid te zijn. 

  • Zorg voor een Data Governance beleid - zorg voor de juiste tools, processen, rollen en afspraken over hoe de kwaliteit van data in een organisatie wordt gewaarborgd.
  • Breng inzicht in je data lineage - weet wanneer data ontstaat, waar in de keten het wordt gewijzigd en in welke systemen het wordt vastgelegd.
  • Richt een controle framework in - zorg dat er gedurende de ‘flow’ van data voldoende checks worden ingebouwd om de kwaliteit te waarborgen, inzicht te krijgen én te houden.
  • Denk na over het anonimiseren van data - initieer een proces dat er voor zorgt dat met name persoonsgegevens niet meer als zodanig te herkennen zijn.

Vaak wordt een verscherping van wet en regelgeving als een belemmering gezien maar het biedt ook kansen. Door nu te acteren en te zorgen dat je als organisatie voldoet aan de GDPR wetgeving kun je de basis zetten voor de toekomst. Ook wordt het gemakkelijker om internationaal te opereren, wordt je je als organisatie bewust van de hoeveelheid data die je als organisatie bezit en creëer je een beter inzicht in hoe waardevol die data nu echt is.

Het levert ook transparantie op, eng wellicht in het begin maar richting klanten schept het vertrouwen aangezien ze weten wat er met de gegevens gebeurt. Zie deze nieuwe wetgeving daarom niet als een noodzakelijk kwaad maar zie er ook de voordelen van in.

Acteer, investeer, pak de kansen en zorg dat je klaar bent voor de toekomst.

Poll: Onze organisatie is klaar voor de GDPR!

Please select at least one option.

 

naar overzicht

Wilt u reageren of meer weten?

Heeft u iets in dit artikel gelezen dat uw interesse gewekt heeft? Laat het ons weten!

Deze post delen?

Trotse winnaar van een
FD Gazellen Award
2014 t/m 2018

© 2018 | Europalaan 12a | 5232BC 's-Hertogenbosch | T: +31 (0)85 0290550 | E: info@pancompany.com