Technologie randvoorwaarde om privacy te beschermen

Kritischer op bescherming persoonsgegevens

Organisaties zijn het afgelopen anderhalf jaar kritischer geworden op de bescherming van persoonsgegevens, mede ingegeven door de op 25 mei 2018 ingevoerde GDPR. In de praktijk merken we dat sinds het passeren van de implementatie-deadline de aandacht voor het onderwerp minder wordt en privacy bij veel organisaties naar de achtergrond verdwijnt. Met als gevaar dat men in oude patronen vervalt. Dit vergroot het risico op het zijn van non-compliance, met mogelijke boetes tot gevolg. Door het inzetten van de juiste technologie kunnen organisaties dit voorkomen, terwijl ze privacy op een kostenefficiënte manier waarborgen en een echte klant- en datagerichte strategie creëren.

Onderzoek van PwC laat zien dat het in de praktijk nog niet eens de helft van de organisaties investeert in technologie ten behoeve van privacy. Hieronder maak ik in drie voorbeelden duidelijk hoe de inzet van technologie uw organisatie kan helpen bij het aantoonbaar voldoen aan de privacywetgeving.

Voorbeeld 1: veranderingen in verwerkingen automatisch detecteren

De GDPR vraagt van organisaties aantoonbaar aan de privacywetgeving te voldoen. Daarom moeten zij bijvoorbeeld vastleggen welke persoonsgegevens zij voor welke doeleinden verwerken. Veel bedrijven kozen daarom aanvankelijk voor het handmatig inrichten van de privacy-infrastructuur om aan deze eis te voldoen. Hierbij kunt u denken aan het bijhouden van een register van verwerkingen in Excel. Hoewel dit als eerste stap prima kan werken, is het gebruik ervan niet altijd even effectief en efficiënt. Er vinden bijvoorbeeld dagelijks veranderingen plaats in de gegevensstromen binnen en buiten de organisatie. Als deze veranderingen niet direct handmatig worden aangepast in het register, is het register al verouderd. Dit vereist van iedere medewerker continu aandacht op veranderingen in verwerkingen, het up-to-date houden van de registers en het inschatten van de risico's van deze veranderingen.

Technologie kan veranderingen in verwerkingen automatisch detecteren en het kan zorgen voor een bijgewerkt register. De gebruikte software geeft de relevante stakeholders een geïntegreerd beeld van de gegevensstromen in de organisatie, zodat zij direct in staat zijn de risico's van de veranderingen in te schatten en daarop te acteren. Als organisatie ben u op deze manier veel beter in staat om aantoonbaar aan de GDPR te voldoen en uw gegevens in de grip te houden.

Voorbeeld 2: beleid voor medewerker vaak lastig naar de werkvloer te vertalen

Onderdeel van de GDPR is eveneens dat medewerkers bewust worden van wat persoonsgegevens zijn en hoe zij zorgvuldig met deze gegevens moeten omgaan. De maatregelen bestaan uit beleid of praktische richtlijnen die de medewerker moet opvolgen om te zorgen dat aan de privacywetgeving wordt voldaan. Medewerkers vinden het vaak lastig de vertaling van beleid naar de werkvloer te maken. Meestal ontbreken concrete praktische handvatten bij de dagelijkse werkzaamheden. 

Neem bijvoorbeeld richtlijnen voor het onbeheerd achterlaten van vertrouwelijke gegevens. Medewerkers weten dat gegevens alleen naar geautoriseerde personen mogen worden verstuurd, maar versturen vervolgens de gegevens wel zonder beveiliging via de mail over het internet. Technologie kan helpen om het gedrag van medewerkers te verbeteren door medewerkers een alert te sturen zodra zij persoonsgegevens over de mail versturen. De medewerker wordt zich op dat moment bewust van het risico en kan de gegevens alsnog op een beveiligde manier mailen.

Door technologie te integreren in de dagelijkse werkzaamheden en een standaardsignalering in te zetten ben je als organisatie veel beter in staat om persoonsgegevens te beschermen en aantoonbaar te voldoen aan de privacywetgeving. 

Voorbeeld 3: automatiseren van de registratie van toestemming

De GDPR noemt uitdrukkelijke toestemming als één van de wettelijke grondslagen voor de verwerking van persoonsgegevens. Om geldig te zijn, moet de toestemming ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ gegeven zijn. Om aan te kunnen tonen dat een organisatie op een juiste manier om toestemming heeft gevraagd, moet zij gedetailleerde registratie bijhouden.

Aangezien organisaties wel duizenden mensen om toestemming vragen voor verschillende verwerkingen, wordt het monitoren en onderhouden van een registratie steeds belangrijker, maar niet eenvoudiger. Door het inzetten van technische componenten kan dit proces worden geautomatiseerd. Dit biedt de organisatie continu controle.

Tags

• Digitalisering
• Crisismanagement