GDPR: bekijk het multidiciplinair

6 november 2017

In de Qhuba Security & Privacy practice komen we regelmatig met bestuurders in aanraking die onze hulp inroepen. Ze hebben het GDPR-dossier aan de Legal & Compliance-afdeling gedelegeerd, wat zo op het eerste gezicht best logisch lijkt. Maar al snel komen ze erachter dat het traject daar vastloopt. Hoe zorg je ervoor dat je vaart houdt en de deadline van mei 2018 gaat halen?

Juridische afdelingen zijn getraind in het spotten van beren op de weg. Die beren ontnemen het zicht op de route die leidt naar compliance. Als je alleen maar focust op wat er allemaal niet mag, dan is het ontzettend lastig om een beeld te krijgen hoe het wél moet. Dan blijf je om de hete brij heen draaien.

Start met de rechten van klanten en medewerkers

Qhuba draait het liever om. Wij starten bij de visie op wat een organisatie moet doen om GDPR-compliant te worden. En dat is veel eenvoudiger dan menigeen denkt. Centraal staan zes relatief simpele rechten van Europese burgers (in hun rol van klant of medewerker) en de daarbij behorende processen. Deze rechten komen niet alleen voort uit de GDPR, maar uit nog twee andere wet- en verdragsteksten: de ePrivacy-wetgeving en het Europees-Amerikaanse verdrag rond het privacy shield (EU-VS privacyschild).

Bekijk de GDPR niet geïsoleerd maar geïntegreerd

De juridische bureaus en afdelingen krijgen vaak een geïsoleerde opdracht rond de GDPR. Dat suggereert dat de GDPR op zichzelf staat, terwijl dat niet zo is. De wet borduurt voort op de privacywetgeving die we langer kennen: de Wet Bescherming Persoonsgegevens en de twee jaar geleden ingevoerde Wet Meldplicht Datalekketen. Dat betekent dat organisaties kunnen voortborduren op datgene wat ze in het kader van deze wetten al hebben ingeregeld. Dat is vaak heel wat, zeker op IT-gebied. Daarnaast zijn er sterke raakvlakken met de ePrivacy-wetgeving, die naar alle waarschijnlijkheid ook actief wordt in mei 2018, en met het Europees-Amerikaanse verdrag rond het privacy shield. Ook deze twee regelingen hebben een sterke relatie met IT. Het is daarom slim om de GDPR integraal aan te pakken. Want het is niet enkel en alleen een juridisch vraagstuk. Het is ook niet puur een IT-vraagstuk. Het is vooral een procesvraagstuk.

Vertaal consumentenrechten in processen

Grote bedrijven lijken op tijd te zijn begonnen met de voorbereidingen op de GDPR. Ze komen er nu echter achter dat ze na een jaar steggelen over wat er allemaal wél of juist niet mag geen snars zijn opgeschoten met het daadwerkelijk inregelen van de zes rechten die Europese burgers hebben. Die rechten moet je verankeren in businessprocessen. Die processen worden uitgevoerd door mensen en ondersteund door IT. De mensen moeten worden getraind in hoe ze met persoonsdata mogen omgaan – en vooral ook in wat er niet mag. En de ondersteunende IT moet zo worden ingeregeld dat medewerkers zich makkelijk aan de gemaakte afspraken kunnen houden. Want als zij bij iedere handeling moeten nadenken of datgene wat ze doen wel mag, dan wordt het onwerkbaar.

Maak het met IT makkelijk voor de medewerkers

Het mooie van IT is: je kunt de processen zo automatiseren dat het gros van deze beslissingen al volledig geautomatiseerd wordt genomen. Denk bijvoorbeeld aan het op basis van rollen en rechten inregelen van toegangsrechten tot persoonsdata. Of aan het volledig automatiseren van het recht om vergeten te worden, wat erop neerkomt dat je met letterlijk één druk op de knop de gegevens van die klant uit al je systemen kunt verwijderen, met uitzondering van de gegevens waar een bewaarplicht voor geldt (dit laatste is met name relevant voor zorgorganisaties en financiële dienstverleners). 

Veel Amerikaanse vendors hebben geen privacy shield certificering

Het goed inregelen van de rechten vraagt wel dat je heel goed zicht hebt op hoe je enterprise architectuur eruit ziet: hoe verhouden processen, data en IT zich tot elkaar? In welke procesen gebruiken we persoonsdata en welke onderliggende IT-systemen zijn daarbij betrokken? Dat beeld hebben de meeste bedrijven helaas niet. We lichten het privacyschild er even uit. Elke organisatie in de VS die hiervoor gecertificeerd is, heeft een passend beschermingsniveau voor de duur van de certificatie. Dat betekent dat organisaties in Europa persoonsgegevens mogen verstrekken aan deze organisaties in de VS. De lijst is lang, maar tot onze grote spijt ontdekken we bij onze klanten nog steeds Amerikaanse IT-vendors in de enterprise architecture die niet op die lijst staan, met juridische complicaties en maatwerk tot gevolg.

Besteed expliciete aandacht aan IT-security

Naast het inregelen van processen die medewerkers helpen bij het nemen van de goede beslissingen, is expliciete aandacht nodig voor informatiebeveiliging. Als het goed is, ligt er al een securityplan dat voorkomt dat (persoons)data in verkeerde handen vallen en dat ook vertelt welke procedures worden gehanteerd als er onverhoopt toch een datalek wordt geconstateerd. Dit plan moet opnieuw worden geëvalueerd en waar nodig aangescherpt. Dit is een echt IT-vraagstuk. Uiteraard komt daar een klein stukje van de proceskant bij kijken, met name als het gaat om welke medewerkers vanaf welke devices en welke locatie toegang hebben tot welke persoonsdata. Maar de inregeling van deze processen is vooral technologie. Zoals al eerder gezegd vraagt dit om het volledig inzichtelijk hebben van je enterprise architectuur. Bovendien komen hier vraagstukken bij kijken als: staan de applicaties en de storage in mijn eigen datacenter, in een Nederlandse cloud of in een Amerikaanse cloud? Welke afspraken heb ik met de cloud provider? En heeft die provider het privacy shield certificaat?

Vlieg de GDPR multidisciplinair aan

De conclusie is dan ook: vlieg de GDPR multidisciplinair aan. Het is geen solitair juridisch vraagstuk. Het is ook niet puur een IT-vraagstuk. Het is voornamelijk een procesvraagstuk. Een vraagstuk dat vooral gerelateerd is aan marketing en HR, twee afdelingen die uit de aard van hun werk veel met persoonsgegevens werken. Zij kunnen procesdeskundigen vertellen hoe zij omgaan met data van klanten en personeel. De IT-afdeling of enterprise architect weet – als het goed is – welke applicaties worden gebruikt bij het verwerken van persoonsdata, waar die applicaties draaien en waar de storage zich bevindt. Op basis van die informatie kan een plan van aanpak worden gemaakt voor het inregelen van de zes rechten die klanten en medewerkers hebben als het gaat om het inzien, wijzigen en verwijderen van hun data. Als dat plan af is, dan kunnen juristen vervolgens toetsen of het ook juridisch hout snijdt. Dat is de juiste volgorde. In een volgende blog zal Qhuba ingaan op de zes rechten en de zes processen die daar bij horen. Behoefte aan een sparringsessie met onze GDPR consultants? Neem contact met Qhuba op.

Frank Leevendig – Partner Digital Transformation en Security & Privacy

Auteur

Frank Leevendig Frank.Leevendig@qhuba.com - 06-11197581 - LinkedIn

Whitepaper