Management

Dit is een bijdrage van SAS Nederland
Datamanagement
GDPR: krijg grip op je persoonsdata, voordat boetes écht worden opgelegd

GDPR: krijg grip op je persoonsdata, voordat boetes écht worden opgelegd

10 mei 2017
Door: SAS Nederland, partner

Vanaf mei 2018 wordt de GDPR gehandhaafd. Dat betekent einde droogzwemmen. Wat moet u doen om niet te verdrinken?

De introductie van de Wet meldplicht datalekken op 1 januari 2016 maakte heel wat los. Organisaties kwamen erachter dat ze nauwelijks zicht hebben op de opslag en het gebruik van persoonsdata. Gelukkig legt de Autoriteit Bescherming Persoonsgegevens nu nog nauwelijks boetes op, dus het blijft bij droogzwemmen. Maar zelfs op het droge is duidelijk dat veel organisaties direct verdrinken als ze echt te water moeten.

En dat gebeurt al in mei 2018, als de General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming, echt wordt gehandhaafd. Deze wet stelt dat iedere Europese burger het recht heeft om te weten hoe zijn/haar gegevens worden gebruikt. Burgers hebben bovendien het recht om alle data onmiddellijk te laten verwijderen uit de systemen. Waar de Wet meldplicht datalekken alleen boetes kan opleggen als data weglekken uit systemen, kan de GDPR al overgaan tot straffen als je niet helder kunt maken aan een burger op welke manieren je zijn data gebruikt. De boetes zijn niet mals en kunnen oplopen tot maximaal 20 miljoen euro of 4% van de jaarlijkse omzet.

Met minder dan een jaar te gaan kunnen organisaties nu echt niet langer achterover leunen. Iedere organisatie zal een antwoord moeten vinden op de volgende vragen:

  • Welke data is persoonlijke data? Hoe kunnen we die data identificeren?
  • Hebben we inzicht in wie er allemaal toegang hebben tot persoonlijke data?
  • Loggen we de activiteiten die we doen met persoonlijke data?
  • Kunnen we eenvoudig alle data van één persoon verwijderen of dupliceren we data in verschillende systemen?
  • Hebben we een overzicht van alle databronnen waarin zich persoonlijke data bevinden?
  • Wat is het risiconiveau van iedere databron?
  • Hebben we processen waarmee we kunnen aantonen dat we ‘in control’ zijn als het gaat om persoonsdata?

Het wordt een uitdaging waarin technologie, proces en mens hand in hand moeten gaan. Technologie is het probleem niet. Er zijn tools om persoonlijke data te identificeren; datastromen te analyseren; activiteiten met persoonlijke data te loggen; rechten vast te leggen als het gaat om inzien en wijzigen van persoonsdata. Processen zijn al een stuk lastiger. Je hebt governance nodig om ervoor te zorgen dat iedereen volgens de afgesproken processen werkt. En dan is er de factor mens. Je zult nieuwe rollen moeten benoemen, bijvoorbeeld die van Data Protection Officer. Dit is een functie die nauw moet samenwerken met IT, IT-security, marketing, de juridische afdeling en de afdeling compliance.

Weten hoe SAS jou daarbij kan helpen? Lees de sheet ‘SAS solution for Personal Data Protection’.

Rein Mertens, Senior Manager bij SAS (Rein.Mertens@sas.com)

Reactie toevoegen