Techniek en ethiek: de mooie kanten van GDPR

Er is over de GDPR-regelgeving al veel gezegd en geschreven, meestal met een dreigende ondertoon. GDPR is moeilijk en de boetes zijn immens. Hoe ingrijpend ook, GDPR heeft een aantal positieve kanten. GDPR biedt tal van kansen om de eigen informatievoorziening op een hoger plan te brengen. Het is een perfecte aanleiding voor een grote voorjaarsschoonmaak van de datahuishouding.

GDPR raakt twee grote domeinen: de techniek onder datamanagement enerzijds en de menselijke omgang met data anderzijds. De techniek heeft betrekking op de systemen, de communicatiekanalen, de opslag, security, zeg maar gerust de ICT-voorzieningen van de organisatie. Althans, als het om digitale data gaat. De menselijke kant gaat over beleid, ethiek, handhaving en communicatie. In feite is de GDPR een uitstekende aanleiding om schoon schip te maken in de datahuishouding van bedrijven. GDPR dwingt om rekenschap te geven van de omgang met persoonlijke gegevens. Van klanten, prospects, partners en (ex-)medewerkers. En dat is ook een ethische kwestie: doet u het minimale om aan de regels te voldoen (de letter van de wet) of handelt u vanuit het belang van de betrokkenen (de geest van de wet)? Technisch kan alles, maar vanuit ethisch standpunt is niet alles gepast. 

Reuzenstap

Laten we beginnen met de IT kant. Hoe maken we die zo snel mogelijk GDPR-compliant? Dat kan heel eenvoudig, maar wel met een reuzenstap: breng alle applicaties en data naar de cloud, dan bent u in één klap van een hoop security-hoofdbrekens af. Serieuze cloud en SaaS providers zoals Google en Salesforce zijn volledig GDPR-compliant. Ze hebben alle certificeringen die er maar te behalen zijn. Zij hebben hun security op een niveau waar de meeste organisaties alleen maar van kunnen dromen. Een beveiligingsniveau dat de meeste bedrijven op eigen kracht nooit zullen bereiken. Uw data en de toegang ertoe zijn, onder bepaalde voorwaarden, veilig in de cloud. Door naar de cloud te gaan, is uw IT-uitdaging opgelost en komen tijd en energie vrij om dat andere vraagstuk van GDPR aan te pakken: de organisatorische kant van de zaak.

Ook die kant is gemakkelijker op te lossen dan u misschien denkt, en wel door de GDPR multidisciplinair aan te vliegen. Het is immers geen solitair juridisch issue. Het is voornamelijk een procesvraagstuk. Een vraagstuk dat vooral gerelateerd is aan marketing en HR, twee afdelingen die uit de aard van hun werk veel met persoonsgegevens werken. Zij kunnen procesdeskundigen vertellen hoe zij omgaan met data van klanten en personeel. De IT-afdeling of enterprise architect weet – als het goed is – welke applicaties worden gebruikt bij het verwerken van persoonsdata. Op basis van die informatie kan een plan van aanpak worden gemaakt voor het instellen van de rechten die klanten en medewerkers hebben als het gaat om het inzien, wijzigen en verwijderen van hun data. Als dat plan af is, komen de juristen aan de beurt om te toetsen of het ook juridisch hout snijdt. Dat is de juiste volgorde.

Procesbenadering

GDPR stelt zes relatief simpele basisrechten van Europese burgers centraal (in hun rol van klant of medewerker) en de daarbij behorende processen. Vertaal deze zes consumentenrechten in businessprocessen en u bent voor 80% klaar; de rest is uitsluitend nog juridische haarkloverij. Die processen worden uitgevoerd door mensen en ondersteund door IT. De medewerkers moeten worden getraind in hoe ze met persoonsdata mogen omgaan – en vooral ook in wat er niet mag. En de ondersteunende IT moet zo worden ingericht dat medewerkers zich makkelijk aan de gemaakte afspraken kunnen houden. Dat kan door de besluitvorming over data verregaand te automatiseren. Denk bijvoorbeeld aan het op basis van rollen en rechten toekennen van toegangsrechten tot persoonsdata (RBAC – Role Based Access Control). Of aan het volledig automatiseren van het recht om vergeten te worden, wat erop neerkomt dat je met letterlijk één druk op de knop de gegevens van die klant uit al je systemen kunt verwijderen, met uitzondering van de gegevens waar een bewaarplicht voor geldt.

Een andere mooie kant van GDPR is dat deze regelgeving voortborduurt op de privacywetgeving die we in Nederland al langer kennen: de Wet Bescherming Persoonsgegevens en de twee jaar geleden ingevoerde Wet Meldplicht Datalekken. Dat betekent dat u kunt voortbouwen op datgene wat u in het kader van deze wetten al hebt doorgevoerd. Dat is vaak al heel veel. 

Deze blogpost is geschreven door Frank Leevendig, partner Digital Transformation en Security & Privacy Qhuba, frank.leevendig@qhuba.com, en Jeroen Hovinga, Business Development Manager g-company, jeroen.hovinga@g.company.

Lees ook de blogpost van Jeroen op LinkedIn.