de mooie kanten van GDPR..the bright sides of GDPR


techniek en ethiek: de mooie kanten van GDPR

Er is over de GDPR-regelgeving al veel gezegd en geschreven, meestal met een dreigende ondertoon. GDPR is moeilijk en de boetes zijn immens. Hoe ingrijpend ook, GDPR heeft een aantal positieve kanten. GDPR biedt tal van kansen om de eigen informatievoorziening op een hoger plan te brengen. Het is een perfecte aanleiding voor een grote voorjaarsschoonmaak van de datahuishouding.


technique and ethics: the bright sides of GDPR

A lot has been said and written about the GDPR regulations, usually with a threatening undertone. GDPR is difficult and the fines are immense. However drastic, GDPR has a number of positive aspects. GDPR offers many opportunities to bring your own information provision to a higher level. It is the perfect occasion for a big spring cleaning of data management.




GDPR raakt twee grote domeinen: de techniek onder datamanagement enerzijds en de menselijke omgang met data anderzijds. De techniek heeft betrekking op de systemen, de communicatiekanalen, de opslag, security, zeg maar gerust de ICT-voorzieningen van de organisatie. Althans, als het om digitale data gaat. De menselijke kant gaat over beleid, ethiek, handhaving en communicatie. In feite is de GDPR een uitstekende aanleiding om schoon schip te maken in de datahuishouding van bedrijven. GDPR dwingt om rekenschap te geven van de omgang met persoonlijke gegevens. Van klanten, prospects, partners en (ex-)medewerkers. En dat is ook een ethische kwestie: doet u het minimale om aan de regels te voldoen (de letter van de wet) of handelt u vanuit het belang van de betrokkenen (de geest van de wet)? Technisch kan alles, maar vanuit ethisch standpunt is niet alles gepast. 



GDPR touches two major domains: the technology behind data management on the one hand and the human interaction with data on the other. The technology relates to the systems, the communication channels, the storage, security; in other words the ICT facilities of the organization. At least, when it comes to digital data. The human side is about policy, ethics, enforcement and communication. In fact, the GDPR is an excellent reason to clean up the data housekeeping of companies. GDPR forces to account for the handling of personal data. Data concerning customers, prospects, partners and (ex-) employees. And that is also an ethical issue: are you doing the minimum to comply with the rules (the letter of the law) or do you act on behalf of the interests of those involved (the spirit of the law)? Technically everything is possible, but from an ethical point of view, not everything is appropriate.

giant step




Laten we beginnen met de IT kant. Hoe maken we die zo snel mogelijk GDPR-compliant? Dat kan heel eenvoudig, maar wel met een reuzenstap: breng alle applicaties en data naar de cloud, dan bent u in één klap van een hoop security-hoofdbrekens af. Serieuze cloud en SaaS providers zoals Google en Salesforce zijn volledig GDPR-compliant. Ze hebben alle certificeringen die er maar te behalen zijn. Zij hebben hun security op een niveau waar de meeste organisaties alleen maar van kunnen dromen. Een beveiligingsniveau dat de meeste bedrijven op eigen kracht nooit zullen bereiken. Uw data en de toegang ertoe zijn, onder bepaalde voorwaarden, veilig in de cloud. Door naar de cloud te gaan, is uw IT-uitdaging opgelost en komen tijd en energie vrij om dat andere vraagstuk van GDPR aan te pakken: de organisatorische kant van de zaak.

Ook die kant is gemakkelijker op te lossen dan u misschien denkt, en wel door de GDPR multidisciplinair aan te vliegen. Het is immers geen solitair juridisch issue. Het is voornamelijk een procesvraagstuk. Een vraagstuk dat vooral gerelateerd is aan marketing en HR, twee afdelingen die uit de aard van hun werk veel met persoonsgegevens werken. Zij kunnen procesdeskundigen vertellen hoe zij omgaan met data van klanten en personeel. De IT-afdeling of enterprise architect weet – als het goed is – welke applicaties worden gebruikt bij het verwerken van persoonsdata. Op basis van die informatie kan een plan van aanpak worden gemaakt voor het instellen van de rechten die klanten en medewerkers hebben als het gaat om het inzien, wijzigen en verwijderen van hun data. Als dat plan af is, komen de juristen aan de beurt om te toetsen of het ook juridisch hout snijdt. Dat is de juiste volgorde.


GDPR stelt zes relatief simpele basisrechten van Europese burgers centraal (in hun rol van klant of medewerker) en de daarbij behorende processen. Vertaal deze zes consumentenrechten in businessprocessen en u bent voor 80% klaar; de rest is uitsluitend nog juridische haarkloverij. Die processen worden uitgevoerd door mensen en ondersteund door IT. De medewerkers moeten worden getraind in hoe ze met persoonsdata mogen omgaan – en vooral ook in wat er niet mag. En de ondersteunende IT moet zo worden ingericht dat medewerkers zich makkelijk aan de gemaakte afspraken kunnen houden. Dat kan door de besluitvorming over data verregaand te automatiseren. Denk bijvoorbeeld aan het op basis van rollen en rechten toekennen van toegangsrechten tot persoonsdata (RBAC - Role Based Access Control). Of aan het volledig automatiseren van het recht om vergeten te worden, wat erop neerkomt dat je met letterlijk één druk op de knop de gegevens van die klant uit al je systemen kunt verwijderen, met uitzondering van de gegevens waar een bewaarplicht voor geldt.

Een andere mooie kant van GDPR is dat deze regelgeving voortborduurt op de privacywetgeving die we in Nederland al langer kennen: de Wet Bescherming Persoonsgegevens en de twee jaar geleden ingevoerde Wet Meldplicht Datalekken. Dat betekent dat u kunt voortbouwen op datgene wat u in het kader van deze wetten al hebt doorgevoerd. Dat is vaak al heel veel. 


Let's start with the IT side. How do we make it GDPR-compliant as quickly as possible? This can be very simple, but with a giant step: bring all applications and data to the cloud, and get rid of a lot of security headaches at once. Serious cloud and SaaS providers such as Google and Salesforce are fully GDPR compliant. They have all possible certifications. Their security is at a level that most organizations can only dream of. A level that most companies will never achieve on their own. Your data and access to it are, under certain conditions, safe in the cloud. By going to the cloud, your IT challenge is resolved and time and energy are won to address that other issue of GDPR: the organizational side of it.

This side is easier to solve than you might think: by a multidisciplinary approach. After all, it is not a solitary legal issue. It is mainly a process issue. A question that is mainly related to marketing and HR, two departments that, by nature of their roles, work a lot with personal data. They can explain process experts how they handle customer and staff data. The IT department or enterprise architect knows - if all goes well - which applications are used when processing personal data. Based on this information, an action plan can be made for setting the rights that customers and employees have when it comes to viewing, changing and deleting their data. Once that plan is complete, it will be up to the lawyers to test whether it also cuts legal ground. That is the correct order.

process approach

GDPR focuses on six relatively simple basic rights of European citizens (in their role of customer or employee) and the associated processes. Translate these six consumer rights into business processes and you are 80% ready; the rest is legal hair-splitting. These processes are carried out by people and supported by IT. Employees must be trained in how they can handle personal data - and especially in what is not allowed. And the supporting IT must be arranged in such a way that employees can easily keep to the agreements made. This can be done by automating data decision making. For example: assigning access rights to personal data based on roles and rights (RBAC - Role Based Access Control). Or completely automating the right to be forgotten, which means that you can remove the data of a customer from all your systems with just one push of a button, with the exception of the data that are subject to retention.

Another nice aspect of GDPR is that this regulation elaborates on the privacy legislation that we have known in the Netherlands for some time: the Personal Data Protection Act and the Data Liability Notification Act, which was introduced two years ago. This means that you can build on what you have already implemented in the context of these laws. That is often already quite a lot.


g-company logo 2016 groen-grijs (1).png


samenwerking g-company en Qhuba voor GDPR-compliance

Qhuba, de digital strategy execution company, en g-company werken samen om bedrijven te helpen op tijd GDPR-compliant te worden. Qhuba dekt de organisatorische kanten van GDPR af, terwijl g-company helpt om naar de Google Cloud of Salesforce te gaan.

Wilt u meer weten over de zonnige kant van GDPR? Neem contact met ons op, we helpen u graag met de grote voorjaarsschoonmaak!

Wilt u meer informatie over de beveiligings- en nalevingsmogelijkheden van Google Cloud? Klik dan hier om het rapport te lezen.


cooperation g-company and Qhuba for GDPR-compliance

Qhuba, the digital strategy execution company, and g-company work together to help companies become GDPR-compliant in time. Qhuba covers the organizational aspects of GDPR, while g-company helps to move to the Google Cloud and/or to Salesforce.

Would you like to know more about the sunny side of GDPR? Contact us, we are happy to help you with the big spring cleaning!

Would you like more information about the security and compliance capabilities of Google Cloud? Click here to read the report (in Dutch).


Deze blogpost is geschreven door Frank Leevendig, partner Digital Transformation en Security & Privacy Qhuba,, en Jeroen Hovinga, Business Development Manager g-company,

Lees ook de blogpost van Jeroen op LinkedIn.


This blogpost was written by Frank Leevendig, partner Digital Transformation and Security & Privacy Qhuba,, and Jeroen Hovinga, Business Development Manager g-company,

Also read Jeroen's blogpost on GDPR on LinkedIn.