de mooie kanten van GDPR

techniek en ethiek: de mooie kanten van GDPR

Click here for the English version of this blogpost.

Er is over de GDPR-regelgeving al veel gezegd en geschreven, meestal met een dreigende ondertoon. GDPR is moeilijk en de boetes zijn immens. Hoe ingrijpend ook, GDPR heeft een aantal positieve kanten. GDPR biedt tal van kansen om de eigen informatievoorziening op een hoger plan te brengen. Het is een perfecte aanleiding voor een grote voorjaarsschoonmaak van de datahuishouding.

ethics-data

GDPR raakt twee grote domeinen: de techniek onder datamanagement enerzijds en de menselijke omgang met data anderzijds. De techniek heeft betrekking op de systemen, de communicatiekanalen, de opslag, security, zeg maar gerust de ICT-voorzieningen van de organisatie. Althans, als het om digitale data gaat. De menselijke kant gaat over beleid, ethiek, handhaving en communicatie. In feite is de GDPR een uitstekende aanleiding om schoon schip te maken in de datahuishouding van bedrijven. GDPR dwingt om rekenschap te geven van de omgang met persoonlijke gegevens. Van klanten, prospects, partners en (ex-)medewerkers. En dat is ook een ethische kwestie: doet u het minimale om aan de regels te voldoen (de letter van de wet) of handelt u vanuit het belang van de betrokkenen (de geest van de wet)? Technisch kan alles, maar vanuit ethisch standpunt is niet alles gepast. 

reuzenstap

leap-of-faith.jpg

Laten we beginnen met de IT kant. Hoe maken we die zo snel mogelijk GDPR-compliant? Dat kan heel eenvoudig, maar wel met een reuzenstap: breng alle applicaties en data naar de cloud, dan bent u in één klap van een hoop security-hoofdbrekens af. Serieuze cloud en SaaS providers zoals Google en Salesforce zijn volledig GDPR-compliant. Ze hebben alle certificeringen die er maar te behalen zijn. Zij hebben hun security op een niveau waar de meeste organisaties alleen maar van kunnen dromen. Een beveiligingsniveau dat de meeste bedrijven op eigen kracht nooit zullen bereiken. Uw data en de toegang ertoe zijn, onder bepaalde voorwaarden, veilig in de cloud. Door naar de cloud te gaan, is uw IT-uitdaging opgelost en komen tijd en energie vrij om dat andere vraagstuk van GDPR aan te pakken: de organisatorische kant van de zaak.

Ook die kant is gemakkelijker op te lossen dan u misschien denkt, en wel door de GDPR multidisciplinair aan te vliegen. Het is immers geen solitair juridisch issue. Het is voornamelijk een procesvraagstuk. Een vraagstuk dat vooral gerelateerd is aan marketing en HR, twee afdelingen die uit de aard van hun werk veel met persoonsgegevens werken. Zij kunnen procesdeskundigen vertellen hoe zij omgaan met data van klanten en personeel. De IT-afdeling of enterprise architect weet – als het goed is – welke applicaties worden gebruikt bij het verwerken van persoonsdata. Op basis van die informatie kan een plan van aanpak worden gemaakt voor het instellen van de rechten die klanten en medewerkers hebben als het gaat om het inzien, wijzigen en verwijderen van hun data. Als dat plan af is, komen de juristen aan de beurt om te toetsen of het ook juridisch hout snijdt. Dat is de juiste volgorde.

procesbenadering

GDPR stelt zes relatief simpele basisrechten van Europese burgers centraal (in hun rol van klant of medewerker) en de daarbij behorende processen. Vertaal deze zes consumentenrechten in businessprocessen en u bent voor 80% klaar; de rest is uitsluitend nog juridische haarkloverij. Die processen worden uitgevoerd door mensen en ondersteund door IT. De medewerkers moeten worden getraind in hoe ze met persoonsdata mogen omgaan – en vooral ook in wat er niet mag. En de ondersteunende IT moet zo worden ingericht dat medewerkers zich makkelijk aan de gemaakte afspraken kunnen houden. Dat kan door de besluitvorming over data verregaand te automatiseren. Denk bijvoorbeeld aan het op basis van rollen en rechten toekennen van toegangsrechten tot persoonsdata (RBAC - Role Based Access Control). Of aan het volledig automatiseren van het recht om vergeten te worden, wat erop neerkomt dat je met letterlijk één druk op de knop de gegevens van die klant uit al je systemen kunt verwijderen, met uitzondering van de gegevens waar een bewaarplicht voor geldt.

Een andere mooie kant van GDPR is dat deze regelgeving voortborduurt op de privacywetgeving die we in Nederland al langer kennen: de Wet Bescherming Persoonsgegevens en de twee jaar geleden ingevoerde Wet Meldplicht Datalekken. Dat betekent dat u kunt voortbouwen op datgene wat u in het kader van deze wetten al hebt doorgevoerd. Dat is vaak al heel veel. 

 
Qhuba
g-company logo 2016 groen-grijs (1).png

samenwerking g-company en Qhuba voor GDPR-compliance

Qhuba, de digital strategy execution company, en g-company werken samen om bedrijven te helpen op tijd GDPR-compliant te worden. Qhuba dekt de organisatorische kanten van GDPR af, terwijl g-company helpt om naar de Google Cloud of Salesforce te gaan.

Wilt u meer weten over de zonnige kant van GDPR? Neem contact met ons op, we helpen u graag met de grote voorjaarsschoonmaak!

Wilt u meer informatie over de beveiligings- en nalevingsmogelijkheden van Google Cloud? Klik dan hier om het rapport te lezen.

Deze blogpost is geschreven door Frank Leevendig, partner Digital Transformation en Security & Privacy Qhuba, frank.leevendig@qhuba.com, en Jeroen Hovinga, Business Development Manager g-company, jeroen.hovinga@g.company.

Lees ook de blogpost van Jeroen op LinkedIn.