GDPR staat voor “General Data Protection Regulation”. De richtlijn werd van kracht in april 2016, maar bedrijven krijgen tot mei 2018 om zich te conformeren. De onderliggende privacy-principes voor GDPR blijven dezelfde als voor de huidige privacy-wetgeving. Bedrijven moeten er nog steeds voor zorgen dat persoonsgegevens accuraat zijn, up-to-date gehouden worden, enkel bijgehouden worden zo lang ze nodig zijn, veilig bewaard worden en enkel gebruikt worden voor het afgesproken doel.

Nieuw zijn onder andere het verplicht melden van datalekken, het aanstellen van een “data privacy officer”, het invoeren van “Privacy by Design”, het recht van de consument voor het opvragen van alle persoonlijke gegevens die het bedrijf over hem/haar heeft alsook het “right to be forgotten”, waarbij het bedrijf in staat moet zijn om alle persoonlijke gegevens over die persoon te verwijderen. De boetes bij niet-naleving kunnen tot 4% van de omzet van uw bedrijf oplopen.

Aanpak voor informatiebeheer

GDPR is niet enkel een verhaal voor de bedrijfsjuristen. GDPR impacteert iedereen binnen uw bedrijf die met persoonlijke gegevens in aanraking komt. De richtlijn stelt dat bedrijven in een actief beheer moeten voorzien voor persoonsgegevens. Of met andere woorden: voorkomen is beter dan genezen. Voorkomen kan met een goede aanpak voor informatiebeheer. U als bedrijf moet bewust worden van de informatie die u nodig heeft om uw bedrijfsstrategie uit te voeren. Om dit te kunnen realiseren, is er nood aan het juiste informatiebeheer en de juiste informatie-architectuur.

Actief informatiebeheer dient ervoor te zorgen dat uw bedrijf over de juiste informatie beschikt met de juiste kwaliteit. Persoonlijke gegevens vergen hierbij speciale aandacht qua privacy, qua veiligheid. Informatiebeheer mag zich echter niet beperken tot het opstellen van standaarden en richtlijnen. De uitdaging is ervoor te zorgen dat klantgegevens bijdragen tot het realiseren van uw bedrijfsdoelstellingen, zonder daarbij inbreuk te plegen op de privacy van de klant. Door in kaart te brengen welke informatie gebruikt wordt, hoe deze bijdraagt tot de business-processen en hoe deze verwerkt wordt, kan een conversatie met de business worden opgestart. Vanuit deze dialoog kunnen de nodige stappen bepaald worden op een manier die met GDPR in lijn ligt.

GDPR maakt onderdeel uit van een aanpak rond risicobeheer. Hierbij is het niet de bedoeling om alle risico’s uit te sluiten. Dat is namelijk onmogelijk. Het gaat over zich bewust worden van de risico’s met persoonlijke gegevens die noodzakelijk zijn voor de bedrijfsvoering, en deze actief te beheren.

Evolutie informatie-architectuur

Naast uw aanpak voor informatiebeheer dient ook uw informatie-architectuur bekeken. De informatie-architectuur omvat zowel uw informatie als de systemen die deze verwerken. Hierbij moet de volledige levenscyclus bekeken, van systemen die de informatie capteren tot systemen die de informatie beheren en verwijderen. Een aantal trends zorgen ervoor dat dit landschap complexer wordt: de groeiende variatie in de structuur van informatie, de groeiende vraag naar analytische toepassingen en de evolutie naar “cloud”-oplossingen.

De informatie-architectuur dient een platform aan te bieden voor alle informatie die van belang is, zowel gestructureerde informatie (typisch te vinden in databanken) als ongestructureerde informatie (e-mails, documenten, sociale media-gegevens, …). Het grootste risico naar inbreuken zit in ongestructureerde informatie. Alle persoonsgegevens in de bedrijfsdatabanken mogen verwijderd worden, een inbreuk is snel gepleegd als marketing een lokale Excel gebruikt om een campagne op te starten. Maar ook met gestructureerde gegevens blijven er uitdagingen. Bedrijven zijn pas recent gestart met master data-initiatieven waarbij ze onder andere werken aan een uniek beeld van hun klanten. Hoe ben je zeker van verwijderen bij “right to be forgotten” als de databanken dubbels bevatten? Ook dient werk gemaakt van de juiste integratie-architectuur, waarbij de replicatie van gegevens beperkt wordt.

Een moderne informatie-architectuur bevat niet alleen systemen die uw operationele bedrijfsprocessen ondersteunen, maar biedt ook mogelijkheden om vanuit een analytisch perspectief naar uw informatie te kijken. Dat gaat van eenvoudige rapporten tot real-time dashboards alsook predictive analysis. Voor die toepassingen mag men niet zomaar persoonlijke gegevens gaan gebruiken. Zorgen voor de juiste toelatingen van de klant en anonimiseren van de datasets kunnen een oplossing bieden.

De evolutie naar cloud-oplossingen zorgt ook voor een vereenvoudiging van de infrastructuurvereisten voor bedrijven, maar brengen wel complexiteit met zich naar eigenaarschap van gegevens. Idem dito als men een goed beeld wil krijgen van waar de informatie precies wordt bijgehouden en wanneer er kopieën worden gemaakt.

Praktisch

Veel bedrijven zijn door GDPR geïmpacteerd. Het is belangrijk om voorbereid te zijn. 2018 lijkt nog lang, maar een traject waarbij verandering van gedrag essentieel is, vraagt voldoende doorlooptijd. Voldoen aan de wettelijke vereisten is het minimum. GDPR is een unieke kans om een bredere information management-aanpak te implementeren. Maak een impactanalyse voor GDPR, leg deze naast het huidige informatielandschap en bekijk op welke manier het uitwerken van GDPR kan bijdragen tot het realiseren van uw business-doelstellingen.

(Bovenstaande bijdrage kwam tot stand in samenwerking met LoQutus N.V. (Sint-Martens-Latem))

Meer info: 09/242.83.00 of www.loqutus.be.