ICT Trends en Ontwikkelingen
Download de whitepaper ‘Intelligent Disruption’ Download

De GDPR in vier stappen

De GDPR die op 25 mei van kracht werd, is een wirwar van regels, ingewikkelde wetteksten en ellenlange opsommingen. Maar wie het enigszins inzichtelijk wil maken, kan de hele regulering reduceren tot deze vier essentiële vragen.

1. Over welke data beschik je, wie heeft er toegang toe en waarvoor?

Het antwoord op deze vraag is niet zo eenvoudig. Een bepalende factor is dat data constant in beweging is: er komen gegevens bij en ze komen via diverse kanalen binnen, vaak in hoog tempo en al helemaal niet altijd uniform. Dat laatste impliceert dat de data ook door verschillende mensen/diensten worden beheerd. Daar zijn doorgaans een hoop plausibele verklaringen voor, maar wie de strikte naleving van de GDPR ambieert zal toch op zoek moeten gaan naar transparantie en overzicht.

Dat betekent heel concreet dat IT nauw moet samenwerken met alle andere relevante diensten binnen je bedrijf. Het is aan de teams om op de proppen te komen met een duidelijke strategie voor onder meer beleidsdefinities en roltoewijzingen. Kortom, breng duidelijk in kaart welke data er beschikbaar zijn en welke mensen/teams toegang hebben tot die gegevens en ook wat zij met die data doen. Dit moet vervolgens resulteren in een holistische kijk op de gegevens die in jouw onderneming aanwezig zijn en biedt de beste garanties voor het gecentraliseerde beheer van jouw gegevensactiva. Het zijn die activa die jouw bedrijf een competitief voordeel kunnen opleveren. Het uiteindelijke doel: het creëren van een op gegevensprivacy gerichte bedrijfscultuur.

2. Weet je waar alle data waarop de GDPR betrekking heeft zich bevinden?

In de meeste bedrijven zijn gegevens verspreid aanwezig over meerdere systemen, applicaties en bronnen; van spreadsheets en databases tot sociale media en e-mail. Dat heeft nogal wat implicaties, want elke betrokkene heeft het recht om die gegevens te allen tijde te kunnen inkijken, aanpassen en zelfs verwijderen en annuleren. Dat wil dus ook zeggen dat je die data snel en efficiënt moet kunnen opdiepen. Opgelet: deze verplichting is op zich niet nieuw maar het is voortaan niet meer mogelijk om hiervoor een vergoeding in rekening te brengen. De enige uitzonderingen hierop zijn gevallen waarbij het verzoek in kwestie onmiskenbaar ongegrond of buitensporig zou zijn. Los daarvan is het niet ondenkbaar dat er een toename van verzoeken zal plaatsvinden.

De vraag is vervolgens hoe je ervoor zorgt dat je adequaat reageert op dergelijk verzoeken. Het is duidelijk dat je daarbij in eerste instantie dient te weten waar de relevante informatie zich bevindt. Deze vier actiepunten kunnen jou helpen om dit doel te realiseren:

  • Identificeer (vind) en classificeer persoonlijke gegevens
  • Detecteer gebieden met een hoog risico en stel beschermingsplannen op
  • Identificeer gebruikerstoegang en activiteit
  • Zorg voor risicomonitoring en beleidsgebaseerde waarschuwingen

3. Hoe ga je de rechten en toestemmingen van persoonsdata beheren?

Net zoals een 360°-beeld van individuele persoonsgegevens uitermate inzichtelijk is, moet je ook een even duidelijk overzicht hebben van de registratie van de toestemmingen die de individuen hebben gegeven. Met de komst van de GDPR is impliciete toestemming niet langer toegestaan en de betrokkenen moeten zelf hun expliciete toestemming geven voor het gebruik van hun persoonsgegevens.

Om de focus op het beheer van die rechten te garanderen, kun je de volgende acties ondernemen:

  • Voorzie in één enkel totaalbeeld van het individu (single view)
  • Bewaar en stem de toestemmingen af ​​op die enkele weergave
  • Schakel workflows in of ondersteun deze om toegang te krijgen tot de gegevens
  • Voorzie doelgerichte perspectieven voor de applicatie die deze gegevens gaat gebruiken

4. Enig idee hoe je je data het beste beschermt en hoe je dat controleert?

Over dit aspect is heel wat discussie want de GDPR is op een aantal punten vaag en/of onduidelijk. De reden daartoe ligt voor de hand: de technologie dendert voort in een moordend tempo en expliciete regels opleggen betekent per definitie dat ze snel achterhaald zijn. Ter illustratie: het is praktisch gezien onmogelijk om vandaag al te weten welke toekomstige cyberbedreigingen in kaart moeten worden gebracht, want ook aan de schaduwzijde van de economie staat de digitale wereld niet stil.

Ondanks de vage aspecten die aan databescherming zijn verbonden, zul je er toch moeten voor zorgen dat je niet alleen vandaag maar ook in de toekomst aan de regels van de GDPR voldoet. Kortom, je zult er moeten op toezien dat je kunt aantonen dat de inspanningen die je op dit vlak levert, gelijke tred houden met de nieuwste veranderingen qua technologie en bedreigingen.

Deze vier vuistregels kunnen daarbij soelaas brengen:

  • Zorg voor voortdurende en dynamische maskering van gevoelige gegevens
  • Archiveer gevoelige gegevens in een veilig ontworpen en gemakkelijk toegankelijke gegevensopslag
  • Beheer het ‘recht om te worden vergeten’ door middel van retentiebeleid en het opschonen van gegevens
  • Verwijder gegevens die je niet van plan bent vast te houden; hiermee implementeer je ook de principes van datareductie (kostenbesparend)

Tot slot

De antwoorden op de vier bovenstaande vragen zijn essentieel voor de strikte naleving van de GDPR. Maar nu je toch aan je data moet sleutelen, waarom pak je het dan niet meteen grondig aan? Kijk verder dan de strenge regulering en buig de voordelen van GDPR om tot een beslissend voordeel in een competitieve markt. De whitepaper ‘Intelligent Disruption: optimising business value through your GDPR journey’ focust op de voordelen ver voorbij de GDPR.

Download de whitepaper ‘Intelligent Disruption’

Reacties (0)

Gelieve in te loggen

Je moet inloggen om een reactie te kunnen plaatsen.