Het Europese parlement heeft gesproken: op vrijdag 4 mei 2018 is de General Data Protection Regulation ook in Nederland en België volledig van kracht. Nog zo'n 355 werkdagen, dan moeten informatiemanagers alle privacygevoelige 'Persoonlijk Herleidbare Informatie' in kaart hebben gebracht. En ook de werkprocessen en het documentbeheer moeten dan 'compliant' zijn ingericht. Zes stappen die nu snel moeten worden genomen.
Het GDPR-project wordt ingrijpend, moét slagen en kent geen uitstel, want de bijbehorende boetes zijn dodelijk: tot 4 procent van de totale bedrijfsomzet.
Het is ongelofelijk wat er de komende twee jaar nog staat te gebeuren. In 2018 bestaat Adobe Flash volgens mij niet meer. Groot-Brittannië heeft dan de Europese Unie verlaten. En we zijn zelfs getuige geweest van de eerste mensenhoofd-transplantatie. Oók aangrijpend, maar dan anders: het dataverkeer van bedrijven en overheden is dan vervijfvoudigd… En op 4 mei 2018 moet iedere informatiemanager dus voldoen aan de nieuwe GDPR-wetgeving voor het beheer van Persoonlijk Herleidbare Informatie (PHI). Gecombineerd met de genoemde dataexplosie die IDC voorziet, heeft dit grote gevolgen voor bedrijven en overheden die privacygevoelige gegevens verwerken.
Waarom GDPR?
De EU GDPR is ontworpen om persoonlijke informatie beter te beschermen in een digitaliserende wereld. De GDPR betekent verreweg de grootste verandering van de wet- en regelgeving op het gebied van gegevensbescherming van deze eeuw. Hij omvat meer dan vijftig artikelen en heeft verstrekkende gevolgen voor organisaties en het gebruik en de opslag van persoonlijke gegevens.
De onbekendheid met de GDPR en de betekenis ervan, zijn zorgelijk groot!
In essentie geeft de GDPR-wetgeving burgers het recht om te bepalen of, wanneer, hoe en aan wie zijn of haar gegevens en informatie worden verstrekt en waartoe die gegevens mogen worden gebruikt.
GDPR compliance in zes stappen
Hier zijn zes belangrijke stappen op weg naar GDPR compliance die informatiemanagers en hun eindverantwoordelijken helpen te bepalen waar Persoonlijk Herleidbare Informatie (PHI) zich bevindt en wat de plichten zijn bij het beheren van die privacygevoelige gegevens.
Stap 1 – Welke data zijn persoonlijke gegevens?
De definitie van ´personal data´ in de nieuwe wetgeving, is dat al die gegevens (in-) direct terug te voeren zijn naar een ´data subject’, een levende persoon. Dat strekt ver en betreft ook IP-adressen, cookies en ´device identifiers´ die gebruikte apparatuur herkennen. Gegevensbeheerders moeten aantonen welke PHI ze onder hun hoede hebben, de informatierisico´s in kaart brengen en laten zien hoe ze die minimaliseren.
Stap 2 – Is de GDPR toepasselijk?
Ken de GDPR-terminologie om de relevantie van de 50 artikelen voor de organisatie te begrijpen. Behalve ‘personal data’ en ´data subject´, worden betekenisvolle termen gebruikt als ´territorial scope’,´data subject access requests’, ´data protection impact assessment (DPIA)’, ´the right to erasure’, ´data portability’ en ´consent’. Meer informatie biedt het Iron Mountain-kenniscentrum (Engels), of bekijk de woordenlijst op eugdpr.org.
Stap 3 – Waar bevindt de PHI zich in de organisatie?
Bepalen welke PHI zich waar bevindt, is een voorwaarde om überhaupt aan de verplichtingen te kunnen voldoen. Dat vraagt inventarisering en analyse van data op bedrijfssystemen, apparatuur van medewerkers, externe (´cloud´-) servers en archieven, en informatie in gebruik of bewaring bij leveranciers, onderaannemers en andere partners die privacygevoelige gegevens namens de organisatie verwerken.
Stap 4 – Ontwikkel een ´informatieplattegrond´ en classificeer alle informatie
Na de analyse in Stap 3 is het advies om een ´data map´ te maken, een informatieplattegrond die in één oogopslag een totaaloverzicht biedt van wat de oorsprong is van welke informatie en waar die informatie allemaal resideert, en hoe de informatiebronnen verbonden zijn met andere systemen – met nadruk op de PHI, fysieke informatie en digitaal. Dat geeft vlot en voortdurend inzicht in de plaats, aard en waarde van alle informatie.
Stap 5 – Beoordeel en verbeter het bestaande informatiebeleid
Nu het duidelijk is welke informatie zich waar bevindt, wat de aard en waarde ervan is, en hoe die informatie wordt gedeeld, is het belangrijk te bepalen wat ermee mág, en hoe ermee moet worden omgegaan – wat bijvoorbeeld de bewaartermijnen zijn. Dat vraagt om adequate beleidsregels ten aanzien van die bewaartermijnen, in overeenstemming met de wet- en regelgeving en contractuele verplichtingen. Het komt er op neer dat er genoeg informatie, maar niet te veel wordt bewaard, gebruikt en gedeeld, en dat dan niet te kort (fiscus, patiëntgegevens), maar ook niet te lang (PHI). Gegevensvernietiging is een delicate kwestie, die ook uiterst vertrouwelijk en aantoonbaar juist moet gebeuren.
Stap 6-– Blijf waakzaam en onderneem de nodige actie
Tenslotte is het belangrijk dat de gehele organisatie en de partners zich bewust zijn van de verplichtingen en afspraken, en dat er bijvoorbeeld eenduidigheid bestaat over de bewaartermijnen en het vernietigingsbeleid. Regelmatige beoordeling is nodig om gelijke pas te houden met veranderende wet- en regelgeving en contractuele verplichtingen en eventuele bedrijfsmatige veranderingen.
Nu actie ondernemen
Het doorvoeren van de Europese General Data Protection Regulation, vereist aanpassing en aanscherping van beleid dat er al moést zijn, wegens eerdere wetten en regels. Maar de vereisten en verantwoordelijkheden vanwege de doorvoering van de GDPR gaan stukken verder en de overeengekomen boetes zijn genadeloos: tot 4% van de wereldwijde omzet van het moederbedrijf, of 20 miljoen euro. Dergelijke maatregelen bieden de informatiemanager wel een krachtig argument om de eindverantwoordelijken te overtuigen hier snel een serieus project van te maken.
Jeroen Strik, directeur van Iron Mountain Nederland en België