Hoe maak ik mijn organisatie klaar voor de GDPR?

De General Data Protection Regulation (GDPR) is een Europabrede wet die de Nederlandse Wet Bescherming Persoonsgegevens (Wbp) per mei 2018 zal vervangen. Maar wat betekent dat voor ons? Wat zal er veranderen?

Vorige week organiseerde OGD de kennissessie Optimaal werken in de cloud. Een van de gastsprekers tijdens dit event was Jan Depping, Partner Technology Strategist bij Microsoft. Hij vertelde de aanwezigen alles over de ins en outs van General Data Protection Regulation (GDPR).

Innovatiecyclus

Door technologische ontwikkelingen creëren gebruikers en allerhande Internet of Things-apparaten een enorme hoeveelheid data. Maar al die data is nog geen bruikbare informatie: daarvoor moet de data eerst verwerkt worden. Iedere innovatie in het verwerken van data tot bruikbare informatie heeft te maken met mensen, processen en technologie. Hierop heeft Microsoft de innovatiecyclus gebaseerd.

Deze cyclus is gestart met het begin van de procesautomatisering, ruim 60 jaar geleden. Alles wat met de hand werd gedaan, ging men in systemen verwerken en deze processen werden vervolgens geautomatiseerd. Daardoor ontstond meer inzicht in de processen en wat deze opleveren. Door te evalueren kwam er informatie over hoe processen geoptimaliseerd konden worden. Nu zijn we inmiddels zover dat de komende technologie ook onze denkprocessen ondersteunt. Denk hierbij aan aan advanced intelligence en foresight. Deze veranderingen in de innovatiecyclus van technologie zijn enorm, en bovendien volledig afhankelijk van de geleverde data. Deze data kan worden gerealiseerd door machines of handmatig worden ingevoerd. De manier om het werk optimaal te kunnen automatiseren en wat alles bij elkaar houdt, is vertrouwen op de kracht van technologie.

Vertrouwen

Om data goed kunnen beveiligen, kun je niet altijd zonder machines werken. “Databeveiliging en machine learning gaan hand in hand”, zegt Jan. “Door machine learning kunnen computers zelf leren in plaats van geprogrammeerd te moeten worden, waardoor vreemde activiteiten sneller herkend kunnen worden.”

Zo kan data beter beveiligd worden. Maar het beveiligen van data begint bij een goede back-up, het installeren van updates en zorgen dat niet iedereen zomaar bij de data kan. Microsoft brengt de hele cyclus in beweging door hun waarde ‘vertrouwen’ in de praktijk te brengen: ze gebruiken het als een manier om alle innovatie te drijven. Jan Depping vertelt hierover: “Zonder vertrouwen komen we niet in beweging en neemt innovatie af. De GDPR draagt hieraan bij door middel van wetgeving. Hierdoor spelen gevoel en emotie een minder grote rol en worden vernieuwingen maximaal ondersteund.”

Pijlers van de GDPR

De GDPR geeft consumenten het recht om meer met hun data te kunnen dankzij verbeterde privacywetgeving, en het legt bedrijven meer plichten op. Om dit te bewerkstelligen bestaat de GDPR uit vier belangrijke pijlers:

  1. Persoonlijke privacy

Ieder individu heeft het recht om zijn of haar persoonlijke data in te zien, gegevens te wijzigen of te verwijderen.

  1. Meldplicht bij datalekken

Bedrijven moeten persoonlijke data beveiligen met gepaste maatregelen. Een daarvan is dat de overheid binnen 72 uur op de hoogte moet worden gebracht van een datalek. In Nederland gaat de Autoriteit Persoonsgegevens hierover.

  1. Transparant beleid

Bedrijven zijn verplicht om datacollecties van een duidelijke kennisgeving te voorzien en verwerkingsdoelen en situaties te schetsen. Ook worden bedrijven verplicht dataretentie en verwijderingsbeleid te definiëren.

  1. Ict en training

Bedrijven moeten hun medewerkers trainen in het handhaven van het privacybeleid. Ook moet dit beleid continu worden gecontroleerd en geüpdatet.

Partnerschap

Organisaties zijn verplicht om vanaf mei 2018 te voldoen aan de GDPR. Maar het implementeren van de GDPR en de hiervoor genoemde pijlers is een groot en ingewikkeld proces. Jan Depping adviseert hierbij dan ook dit niet alleen te doen, maar de samenwerking met een andere partij aan te gaan. Bij zo’n partnerschap zijn er twee partijen: de implementerende partij en de controlerende partij. Dat kan niet dezelfde partij zijn, zegt Jan: “De slager die zijn eigen vlees keurt, komt niet door een audit heen. Zorg dat beide partijen vroegtijdig worden aangehaakt bij de implementatie van de GDPR. Het is erg fijn om een controlerende partij erbij te hebben in het beginstadium.”

Meer weten over de GDPR? In de aanloop naar de nieuwe wetgeving geeft OGD u nuttige informatie met betrekking tot de nieuwe wetgeving en implementatie van maatregelen. Wilt u deze updates gelijk in uw mailbox ontvangen? Schrijf u dan in via de banner hieronder.