Hoewel de deadline van mei 2018 snel nadert, zijn nog maar weinig organisaties er klaar voor: de GDPR, ofwel de Algemene Verordening Gegevensbescherming. Om inspiratie op te doen en concrete handvatten te geven over GDPR-compliance, was ik vorige week moderator op een evenement hierover. Een samenvatting van de belangrijkste adviezen en conclusies.
Big Data
Veel organisaties zijn met initiatieven gestart om te onderzoeken hoe het gebruik van big data kan bijdragen om bijvoorbeeld beter klantinzicht te krijgen en daarmee betere klantenservice te bieden, fraude te voorkomen of maatschappelijke vraagstukken, zoals meer veiligheid op straat, op te lossen. Bij dit soort initiatieven is data privacy inmiddels ook een aspect dat steeds vaker wordt meegenomen. Organisaties kijken dus niet alleen hoe zij kunnen innoveren met big data, maar ook hoe dit verantwoord kan plaatsvinden. De GDPR is hiervoor in die zin ook een katalysator.
Kansen
Dat de GDPR niet alleen een administratieve last is, maar ook kansen biedt, blijkt uit de visie van juridisch expert Kalliopi Spyridaki, chief privacy strategist bij SAS. Zij gaf aan dat organisaties de nieuwe wetgeving ook kunnen aangrijpen om belangrijke aspecten in hun organisatie verder te ontwikkelen. Spyridaki ziet daarvoor kansen op vier gebieden:
- Innovatie: de GDPR kan gebruikt worden als aanleiding om nieuwe diensten te ontwikkelen waarbij de privacy van klanten voorop staat.
- Transparantie (vertrouwen): bedrijven die duidelijk communiceren over hun data privacy-beleid winnen sneller het vertrouwen en de loyaliteit van klanten.
- De macht ligt bij de consument: het recht op dataportabiliteit binnen de GDPR geeft consumenten de mogelijkheid makkelijker te switchen naar een andere leverancier. Dit daagt bedrijven uit nog sterker te focussen op klanttevredenheid.
- Data management en data governance: de GDPR geeft de kans eens kritisch te kijken naar het huidige data management en data governance beleid. Op een goede manier met je data omgaan zorgt niet alleen voor compliance, maar helpt ook om het meeste uit die data te halen.
5 stappen naar GDPR-compliance
Olivier Penel, EMEA data management director bij SAS, laat daarnaast geen misverstand bestaan over de tijdsdruk. Met nog maar iets meer dan een jaar te gaan moeten we haast maken om GDPR compliant te worden. Om organisaties hierbij te helpen gaf hij een vijf stappenplan:
1. Access
2. Identify
3. Govern
4. Protect
5. Audit
De eerste stap, access, helpt in kaart te brengen welke acties, beleidsregels en processen er zijn voor persoonlijke data. Vervolgens moet geïdentificeerd worden welke data binnen de organisatie valt onder de noemer ‘persoonlijke data’. Daarna moet er een governance model gecreëerd worden waarbij de definities van persoonlijke data worden vastgesteld, wie hier toegang toe hebben en met welk doel. Een volgende stap is zorgen dat je de data op de juiste manier kunt beschermen, inclusief zaken als pseudonimisatie en anonimisatie. Tenslotte in de audit stap maakt continue logging en monitoring van het gebruik van data inzichtelijk of aan de gestelde privacycontroles wordt voldaan en kan daarmee bewezen worden dat het gebruik van data onder controle is.
Geen focus op data-privacy
Nora Boukadid, EMEIA data privacy lead bij EY, licht de operationalisatie van de GDPR verder toe. Dit is een serieuze uitdaging aangezien de meeste bedrijven nooit speciale focus hebben gehad op data privacy en databescherming. Als eerste actie adviseert zij organisaties een visie op en de ambitie voor data-privacy te formuleren. Het liefst met behulp van een data protection officer (dpo). Hoewel men het gezien de strakke deadline niet van de aanstelling van de dpo moet laten afhangen om van start te gaan met GDPR-compliance.
De bijeenkomst werd afgesloten met een paneldiscussie waarbij naast de sprekers ook Elisabeth Thole, partner privacy law bij Van Doorne en Anita Bieleman, data protection officer bij GfK, aanschoven. Ook hier werd geconcludeerd dat het alleen aanstellen van een dpo geen oplossing is voor GDPR compliance. Het is ook niet alleen een issue voor de business, it of de juridische afdeling. Het raakt het hele bedrijf en zou dan ook als een organisatiebrede exercitie uitgevoerd moeten worden zodat het werkbaar blijft en succesvol kan worden geïmplementeerd.