In 7 stappen klaar voor de privacywetgeving

In 7 stappen klaar voor de privacywetgeving 1

Door: Erik Leene (LinkedIN)

Nog geen twee maanden geleden te lezen in blog post “Wie meldt het volgende datalek?” een pleidooi voor meer bewustzijn voor de risico’s bij het gebruik van privacygevoelige data. Het antwoord op onze vraag lazen we daarna bijna dagelijks in de krant.

Jaaropgaven tweeduizend Philips medewerkers op straat (NRC, 11 november 2016)

Headhunter Michael Page in verlegenheid door datalek (Financieel Dagblad, 14 november 2016)

Ziekenhuizen melden elke dag datalek (Trouw, 24 november 2016)

Sinds 1 januari 2016 zijn er al meer dan 4.000 (!) datalekken gemeld bij de Autoriteit Persoonsgegevens. In een interview van Nu.nl met Aleid Wolfsen in oktober vertelt de nieuwe voorzitter van de AP dat er inmiddels “tientallen onderzoeken lopen naar aanleiding van die meldingen”. De verwachting is dat deze onderzoeken flinke boetes tot gevolg zullen hebben. Boetes die met de handhaving van de nieuwe General Data Protection Regulation per 25 mei 2018 alleen maar hoger gaan worden. Bovendien worden daarmee, zoals we eerder al beschreven, de regels voor het gebruik van privacygevoelige informatie flink aangescherpt. Kortom: tijd om in actie te komen! Hoe? Door de risico’s serieus te nemen en de onderstaande zeven stappen te doorlopen.

We lijden aan data-obesitas. In de loop van de tijd hebben we alles verzameld wat we maar konden verzamelen over klanten en medewerkers, vaak zonder duidelijk doel. Nu worden we geconfronteerd met de enorme risico’s die we daarmee lopen.

 

STAP 1

Word bewust onbekwaam
Dat klinkt logisch, toch? Als je niet weet wat er mis is, weet je ook niet wat je moet doen. Toch zijn er genoeg bedrijven die van schrik allerlei maatregelen nemen, zonder eerst goed te bedenken wat eraan schort in hun organisatie. Maak niet diezelfde fout en breng eerst de potential risks voor jouw specifieke situatie in kaart. Toets je organisatie, processen en IT systemen aan de (toekomstige) wet- en regelgeving. Dat kun je (laten) doen met een Privacy Impact Assessment (PIA). Zo’n PIA geeft niet alleen inzicht in de omvang van de risico’s die je loopt, maar ook in de basismaatregelen en minimale aanpassingen die je moet doorvoeren. Mag en wil ik bepaalde data wel opslaan? Is het verstandig om bepaalde gegevens te anonimiseren? Kan ik zomaar overal met mijn laptop buiten kantoor werken? Waarom heb ik wel een clear desk policy, maar geen privacy policy?

Veel privacy problemen ontstaan door menselijk handelen. Het is daarom belangrijk je hele organisatie bewust onbekwaam te maken, voordat je allerlei maatregelen doorvoert. We zijn immers massaal te slordig met data en zolang we ons daar niet bewust van zijn, is het vrij zinloos om maatregelen door te voeren. Privacy en data governance moeten een tweede natuur worden bij je medewerkers. De beste manier om dat te bereiken is het organiseren van workshops. Te beginnen bij de belangrijkste belanghebbenden, maar uiteindelijk gericht op alle medewerkers. Vergeet daarbij niet om ook de kansen te inventariseren die persoonsdata je organisatie bieden. Waarom sla je ze op en wat wil je ermee bereiken? De combinatie van kansen en risico’s bepaalt uiteindelijk hoe je de vervolgstappen invult.

STAP 2

Analyseer en stel maatregelen op
Pas als je je bewust bent van de doelen waar je persoonsgegevens voor gebruikt (of wil gebruiken) en de risico’s die je daarbij loopt, kun je gaan nadenken over mitigerende maatregelen. Welke activiteit lost welk probleem op? Het is verstandig om daar mensen met ervaring bij te betrekken, omdat het vaak gaat over een complexe combinatie van juridische, organisatorische en technische maatregelen. Bovendien beschikken specialisten over assessment tools die een veel diepgaandere analyse van de risico’s doen, voortbouwend op de resultaten van de PIA die je zelf hebt gedaan. Een externe assessment confronteert je met een veelheid aan kritische vragen om de beste set aan maatregelen vast te stellen. Om maar eens een paar voorbeelden te noemen:

  • Is er een privacybeleid beschikbaar?
  • Wat is je beleid m.b.t. bring your own device?
  • Zijn je personeelsvolgsystemen goedgekeurd door de OR?
  • Gebruik je geanonimiseerde data om systemen te testen?
  • Is er een contract met externe partijen die data voor je bewerken?

De geadviseerde maatregelen die uit het assessment volgen zijn, als het goed is, gericht op het maximaliseren van de kansen, tegen een zo laag mogelijk risico. Niet rücksichtslos alle data vernietigen of achter slot en grendel zetten, maar ook geen ‘het doel heiligt de middelen’ houding bij het gebruik van persoonsgegevens. Je zoekt naar een subtiel evenwicht. Dat kan betekenen dat je klanten (of medewerkers) beter en structureler om toestemming moet vragen of je hun gegevens mag gebruiken. Of dat je een deel van de gegevens gaat anonimiseren, zodat ze nog wel bruikbaar zijn voor analyses maar niet meer herleidbaar naar een persoon. In andere gevallen kan het bijvoorbeeld verstandig zijn persoonsgegevens gescheiden van andere data op te slaan. De uiteindelijke maatregelen zijn voor elke organisatie weer anders.

STAP 3

Werk maatregelen uit
Maatregelen bedenken is één, ze in detail uitwerken is een tweede. Veel van de benodigde privacy maatregelen leiden tot nieuwe of aangepaste regels, richtlijnen, (juridische) afspraken, procedures en hulpmiddelen die ervoor zorgen dat je aan de wetgeving voldoet. Vaak komen daar nog flinke aanpassingen aan je IT-systemen bij. Risico’s afdekken betekent dat je al die zaken in detail uitwerkt en ervoor zorgt dat iedere medewerker op de hoogte is van zijn verantwoordelijkheden. En van de relevante regels, afspraken en procedures en hoe hij daaraan kan voldoen.
Denk daarbij niet meteen aan een zware juridische exercitie, maar aan het uitwerken van een volledige en praktische set regels en afspraken. Wil je buiten kantoor werken? Dan ben je verplicht via een VPN verbinding te werken en een privacy filter te installeren volgens onze richtlijnen. Werk je ook via je eigen device? Dan moet deze voorzien zijn van VPN en een remote whiping optie. Werk je met privacy gevoelige gegevens? Dan moet je je altijd aan deze regels houden en mag je niet bij een collega in de buurt zitten die geen autorisatie heeft voor die gegevens.

Stap 4

Regel in
Het zal tijd kosten om alle benodigde maatregelen te implementeren. Begin vooral met de quick wins: maatregelen die niet teveel impact hebben maar wel veel resultaat. En probeer niet alles in één keer te doen, maar werk in kleine stappen. Beter een paar regels en afspraken goed ingeregeld, dan een heleboel maatregelen een beetje. En besteed voortdurend tijd aan voorlichting. Leg uit wat nu precies ‘kritische data elementen’ zijn en hoe je die wel en niet mag gebruiken. Ga in gesprek met medewerkers, vraag waar ze knelpunten ervaren en pas je privacybeleid daar op aan.

Duidelijke verantwoordelijkheden zijn een belangrijk aspect van het inregelen. Wie monitort en rapporteert privacy incidenten? Wie meldt datalekken bij de autoriteiten? Wie verzorgen de interne en externe communicatie bij een datalek? Wie is verantwoordelijk voor crisismanagement? Maar ook de verantwoordelijkheid voor het (aanpassen van) het privacybeleid zelf moet belegd worden. Wat is de beste samenstelling voor een data governance board, met voldoende draagvlak en daadkracht? Wie nemen er zitting in het privacy comité die de implementatie van het beleid bewaakt?

In 7 stappen klaar voor de privacywetgeving 2

STAP 5

Richt data governance in
Uiteindelijk draait privacy om (risico)data. Als je als organisatie de beschikbaarheid, bruikbaarheid, integriteit en veiligheid van die data wil garanderen, zul je een goed data governance framework moeten implementeren. Een stelsel van afspraken, procedures en (IT) maatregelen die consequent zijn ingebed in je organisatie. Van het trainen van medewerkers tot het uitvoeren van periodieke risico-inventarisaties en van het inrichten van vaste rapportagelijnen tot het opstellen van ecalatieprocedures. Daarbij wordt je ook geconfronteerd met strategische, lange termijn keuzes waar je voor lange tijd aan vast zit. Slaan we data wel of niet in de cloud op? Integreren we klantdata wel of niet tot één ‘360 graden view’? Wie is de beheerder van privacygevoelige informatie en hoe beveiligen we die informatie?

Data governance vraagt om een gestructureerde lange termijn aanpak. Een aanpak die de juridische, risicomanagement en IT aspecten samenbrengt. Waarbij voor iedereen in je bedrijf glashelder is wat de kritische data-elementen van je organisatie zijn en hoe je die wel en niet mag gebruiken. Een goed bruikbaar hulpmiddel daarbij is het framework Stimuleringskader Integere Organisatie (SIO). Dit framework maakt je data governance inspanningen meetbaar. Het geeft je de handvatten voor een gestructureerde aanpak en zorgt bovendien dat je inspanningen controleerbaar zijn. Zodat je objectief kunt aantonen dat je alle in het werk hebt gesteld om integer met data om te gaan.

STAP 6

Herontwerp je systemen
Als het om je IT systemen gaat, verwacht de wetgever in 2018 ‘privacy by design’ en ‘privacy by default’ van je. Daarvoor zul je eerst moeten bepalen waar je nu staat om vervolgens je systemen te herontwerpen en om te bouwen, of zelfs vervangen. In de blog post gaven we al een korte bloemlezing van de eisen die er aan je systemen gesteld worden. Voor de meeste organisaties niet iets dat je zomaar even aanpast. Dat vraagt meestal om een meerjarenplan voor 3-5 jaar en kan zelfs tot het uitfaseren van systemen leiden. Sommige rest risico’s zul je daarbij misschien moeten accepteren.

STAP 7

Blijf organiseren
Voldoen aan privacy wetgeving is geen eenmalig project. Je bent niet klaar als je op 25 mei 2018 voldoet aan de wetgeving! Data governance is een continu proces dat goed belegd moet worden in taken en rollen in je organisatie. Een proces dat voortdurend gemonitord en verbeterd moet worden. Waarschijnlijk zul je je eerste data governance stappen in projectvorm uitvoeren, maar hoe eerder je deze in je lijnorganisatie belegd, hoe beter! De kunst daarbij is om je korte en lange termijn doelen op elkaar af te blijven stemmen en snel voortgang te boeken.

Jean Paul van Schoonhoven is directeur van Legal2Practice, een adviesbureau gespecialiseerd in Legal, Compliance en Privacy. Hij is actief als gastspreker, docent en publiceert regelmatig over privacy gerelateerde onderwerpen.

Erik Leene is directeur innovatie bij Kadenza, Nederlands grootste dienstverlener op het gebied van self service analytics, big data en data governance. Hij presenteert en publiceert regelmatig over data governance, big data en business intelligence.

Legal2Practice en Kadenza hebben hun krachten gebundeld om data-intensieve bedrijven te helpen met hun risicomanagement en compliance, door het stapsgewijs implementeren van een – juridisch én technisch – data governance framework.

Reageer !

reacties