Zes praktische datamanagementacties voor mei 2018 (en daarna)

  1. 19 dec 2017
  2. 0 reacties

Pieter Duijfjes

Pieter Duyfjes, Consultant bij IT-dienstverlener Sogeti

GDPR draait om privacy en veiligheid van (bijzondere)persoonsgegevens maar eigenlijk begint het bij datamanagement. Inmiddels zal iedere organisatie toch wel op de hoogte zijn van de vernieuwde wetgeving voor bescherming van privacygevoelige data en de boetes die daarmee gepaard gaan bij datalekken. Bekend zijn met deze Europese wetgeving die per mei 2018 gehandhaafd wordt, is één ding. Maar ernaar handelen, is natuurlijk veel belangrijker. Nog steeds vragen organisaties waar te beginnen om straks GDPR-klaar te zijn. Ook omdat er nog honderd andere dingen op de agenda staan.

Het antwoord is helder; Het begint met inzicht in  de persoonsgevoelige data binnen de organisatie.  Een concrete aanpak onderscheidt zich op twee sporen; de korte termijn acties om klaar te zijn voor de operationele wet per mei 2018 en de lange termijn maatregelen. Deze laatste zijn gericht op structureel datamanagement dat verder gaat dan mei volgend jaar.

Zes GDPR-proof maatregelen

1.Inventarisatie persoonsgegevens: De allereerste vraag die organisaties zichzelf moeten stellen, is welke type data onderdeel zijn van de persoonsgegevens. Als helder is om welke data dat gaat, weet je ook waar deze informatie te vinden is en hoe die data al dan niet binnen of buiten de muren van het bedrijf gebruikt wordt. Dan kun je beginnen met de risico- inventarisatie. Wat zijn de gevolgen als deze persoonsgegevens kwijt raken? Maar ook wie heeft recht op inzage, correctie, verplaatsing of vernietiging van de (bijzondere) persoonsgegevens?

2.Bescherming: Zorg voor passende maatregelen om de integriteit, en de privacy van de persoonsgegevens te beschermen. Zijn de laatste software patches geïnstalleerd? Bij cloud services, waar staat de data geografisch gezien? Worden persoonsgegevens ingezet bij het testen van software? Maar ook het monitoren en controleren wie de data met de gebruikt.

3.(Meta)Datamanagement: Op het moment dat iemand inzage wil in zijn of haar opgeslagen persoonsgegevens, is dit beschikbaar binnen gewenste periode? En is het overzicht volledig? Zorg voor vastlegging van welke persoonsgegevens waar worden gebruikt en met welk doel. En koppel dit aan de door de persoon verleende toestemming.

4.Noodprocedures: Hoe worden datalekken gesignaleerd en wie gaat dat melden? Uiteraard moet duidelijk zijn welke processen van toepassing zijn bij het dichten van datalekken, het beperken van de gevolgen, de communicatie en het boven tafel krijgen van leereffecten. Bereid je voor op onverhoopte datalekken door te oefenen, bijvoorbeeld met een gesimuleerd datalek.

5.Privacy-by-Design: Het ontwerpen, ontwikkelen en bouwen van applicaties en systemen waarbij vanaf de start van het ontwerp rekening wordt gehouden met privacybescherming, is een belangrijke maatregel. Ga daar gelijk mee van start bij de ontwikkeling van nieuwe applicaties, het inrichten van de organisatie en het vaststellen van processen.

6.Afspraken met keten-partners: Last but not least, zijn veel van bovengenoemde maatregelen relevant voor leveranciers. Maak daarom ook duidelijke afspraken met hen. Zij dragen eveneens bij aan het GDPR-proof maken van de organisatie.

GDPR-databeheerbeleid op langere termijn

Het houdt uiteraard niet op bij deze zes maatregelen. En natuurlijk ook niet in mei 2018. Het grote voordeel is natuurlijk dat het structureel goed inrichten van datamanagement niet alleen helpt bij het GDPR-proof maken van de organisatie. Ik hoef ongetwijfeld niet uit te leggen dat ook marketeers en andere collega’s uit de business baat hebben bij helder inzicht in de juiste data. Zo is op langere termijn werk-aan-de-winkel voor het inrichten van goed Meta Data Management beleid. Daarmee weet je welke data in huis is, waar het vandaan komt en hoe data als een groot goed voor de organisatie te gelde te maken voor nieuwe mogelijkheden. Dat is ook een opmaat naar het terugdringen van dataversnippering en veel meer acties om op een structurele en veilige manier enerzijds grip te houden op de data en anderzijds optimaal te profiteren van de waardevolle informatie.