Het is bijna niet te missen. Vanaf morgen, vrijdag 25 mei 2018, is de GDPR (of AVG) van kracht. Iedere organisatie met medewerkers of klanten binnen de Europese Unie moet dan aan (extra) richtlijnen voldoen voor de bescherming van persoonlijke gegevens. Dit heeft ook impact op de data die aan de betreffende informatie ten grondslag ligt. Hoewel de meeste bedrijven zich hiervan bewust zijn, zie ik ook dat vele nog worstelen met de praktische aanpak van hun datamanagement.
De richtlijn start met het logische uitgangspunt dat het wenselijk is om zo min mogelijk persoonlijke gegevens te bewaren en dat er redelijke voorzorgsmaatregelen worden getroffen om risico’s voor individuen te beperken. Dit is om te voorkomen dat de gegevens in handen komen van kwaadwillende personen, maar ook om bedrijven ervan te weerhouden om persoonsgegevens van EU-burgers te misbruiken voor hinderlijke en onwenselijke marketingactiviteiten. Een van de belangrijkste beginselen van de GDPR is dan ook dat organisaties moeten aantonen dat alle persoonsgegevens die zij in bezit hebben daadwerkelijk nodig zijn voor hun bedrijfsvoering.
Vanzelfsprekend is er binnen elke onderneming sprake van diverse datastromen. Inzicht en overzicht blijken in de praktijk dan ook de grootste uitdaging. Veel bedrijven hebben werkelijk geen idee over welke data zij beschikken, waar dit wordt opgeslagen en hoe deze wordt gedeeld. Door GDPR moeten organisaties dan ook kritisch kijken naar de data waar zij over beschikken én hoe deze beheerd wordt.
Uitleg
Stel, u staat aan het roer van een winkelketen en er wordt geconstateerd dat bij de kassa de kleur van de ogen van klanten wordt gescand. U moet dan kunnen uitleggen waarom dat gebeurt. Als eigenaar van een optiekketen zou het bijvoorbeeld kunnen zijn dat u klanten daarmee betere nazorg kunt bieden. Het is een lastiger verhaal als u van plan was om bij te verdienen door deze data aan derde partijen te verkopen. Bijvoorbeeld omdat mensen met groene ogen eerder geneigd zijn om chocolade te kopen. Ook als uw redenen volstrekt legitiem zijn, zult u nog altijd tekst en uitleg moeten geven over de manier waarop u met deze data omgaat – hoe de dataprocessen en -stromen verlopen – nadat u deze heeft verkregen. Om GDPR-compliant te zijn moet data geïdentificeerd én gecontroleerd kunnen worden. En dat is best een dingetje. Automatisering biedt uitkomst.
Door middel van data warehouse automation – het automatiseren van de data-infrastructuur – kunnen de dataopslag en -stromen efficiënt in kaart worden gebracht. De data wordt daarbij traceerbaar gedurende de hele levenscyclus. Bij proactieve automatisering van de data-infrastructuur kunnen er bovendien proactief ‘area’s of concern’ opgespoord en gedefinieerd worden, zodat deze adequaat kunnen worden aangepakt. Ook is het fijn dat er geen ‘data extractors’ ingericht hoeven te worden, waardoor exportverzoeken zowel bij audits als bij verzoeken door klanten flexibel en tijdig ingewilligd kunnen worden. Een groot voordeel van warehouse automation is dat deze mogelijkheden ook met terugwerkende kracht toegepast kunnen worden, op historische data.
Het hoeft dan ook allemaal niet zo spannend te zijn om in te spelen op veranderende wet- en regelgeving, zoals nu met GDPR. Sterker nog, de juiste tooling en optimaal inzicht in de beschikbare data en workflows vormen de basis voor een sterke datastrategie, en bieden bedrijven vooral heel veel kansen. Om klanten optimaal te bedienen, maar ook de mogelijkheid om vlot te anticiperen op marktontwikkelingen met behulp van historische gegevens. Bij zowel de toevoegde waarde van informatie als optimale informatiebeveiliging draait het om grip op de data en datastromen. Met een duidelijke roadmap wordt de reis aangenamer en komt de bestemming sneller in zicht.
Vincent Calcagnile, account director EMEA bij Wherescape