Is jouw organisatie klaar voor de Europese General Data Protection Regulation (GDPR)?
In 2015 heeft de Europese Commissie samen met het Europese Parlement een akkoord bereikt over de invoering van de Europese General Data Protection Regulation (GDPR). Deze wetgeving vervangt in mei 2018 de Nederlandse privacywet; de Wet Bescherming Persoonsgegevens. De invoering van deze ingrijpende wetgeving zal grote gevolgen hebben op het gebied van privacy en databescherming. Sommige wetgeving is zelfs nu al van kracht.
De huidige situatie
De aanloop naar 25 mei 2018 lijkt nog voldoende tijd voor bedrijven om maatregelen te implementeren maar in de praktijk blijkt dit moeilijker dan gedacht. Wanneer je als organisatie alle zaken rondom de GDPR niet op tijd in orde hebt bestaat niet alleen de kans dat je een flinke boete ontvangt maar ook dat er in je organisatie niet zorgvuldig om wordt gegaan met data. In de huidige situatie hebben organisaties te maken met de Wet Bescherming Persoonsgegevens(WBP). Hierin wordt momenteel beschreven welke gegevens verzameld mogen worden en waar deze voor mogen worden gebruikt. Het niet naleven van De Wet Bescherming Persoonsgegevens is een strafbaar feit en kan resulteren in boetes van maximaal 820.000 euro, of in uitzonderlijke gevallen 10% van de jaaromzet.
Wat betekent de GDPR concreet voor bedrijven
De GDPR is een verordening. Dit houdt in dat alle bedrijven die actief zijn binnen de Europese Unie aan deze wetgeving moeten voldoen onder toezicht van nationale handhaving die worden aangestuurd door de European Data Protection Board. Boetes voor het niet naleven van de wetgeving gaan fors omhoog; van maximaal € 820.000 (of 2% van de wereldwijde omzet) naar maximaal € 20.000.000 (of 4% van de wereldwijde omzet).
De regelgeving stelt hogere eisen aan beveiliging, gebruik en opslag van data, om zo de veiligheid van persoonsgegevens te bewaken. Dit zorgt ervoor dat de dataverzameling transparanter en inzichtelijker wordt voor ‘betrokkenen’. De aanscherping van het vergeetrecht zal het bovendien makkelijker maken om verkregen data in te zien of te (laten) verwijderen.
Daarnaast wordt het voor veel organisaties verplicht om een ‘Data Protection Officer’(DPO) aan te stellen/te benoemen. De DPO is verantwoordelijk voor het naleven van de GDPR wetgeving. Verder worden er in de GDPR regels gesteld rondom de melding van datalekken. Deze moeten binnen 72 uur gemeld worden bij de nationale toezichthouder. Dit is voor Nederland niet heel vernieuwend aangezien wij sinds 2016 te maken hebben met de ‘Meldplicht datalekken’.
GDPR: De 8 belangrijkste punten op een rij
Organisaties worden verplicht een Data Protection Officer aan te stellen. Deze persoon is verantwoordelijk voor het naleven van de GDPR regelgeving. Dit is van toepassing op alle bedrijven die van meer dan vijfduizend Europese burgers informatie hebben. Dit kan dus ook bij kleinere bedrijven van toepassing zijn. Dit betekent dat er minimaal 28 duizend DPO’s nodig zullen zijn om alle organisaties te voorzien[1]. Een DPO mag onder bepaalde omstandigheden overigens wel meerdere bedrijven als DPO vertegenwoordigen.
Er moet ondubbelzinnige toestemming zijn van de betrokken personen voor het verwerken van de gegevens. Dit betekent dat de vraag voor toestemming duidelijk, begrijpelijk en in eenvoudige taal staat. Personen moeten te allen tijde inzicht hebben in de van hen vastgelegde gegevens, organisaties dienen deze inzichten te kunnen faciliteren. Organisaties mogen slechts het absolute minimale aan persoonsgegevens vastleggen.
De GDPR regels zijn van toepassing op alle bedrijven binnen de Europese Unie en bedrijven die actief zijn op de Europese markt. Op nationaal niveau worden toezichthouders aangesteld die toezien op de naleving van de GDPR regelgeving.
Hierbij is de data niet meer herleidbaar naar een uniek individu/originele bron.
Het niet naleven van de regels rondom GDPR kan worden bestraft met een sanctie van 4% van de wereldwijde omzet of 20 miljoen euro (hoogste sanctie geldt).
Voor alle processen waarbij grote risico’s kleven aan de verwerking van de persoonsgegevens moet de organisatie een Data Protection Impact Assessment (DPIA) uit te voeren.
Elke organisatie moet zichtbaar maken dat zij zowel bij het design maar ook bij de standaard inrichting het minimale gebruik van persoonsgegevens voorop gesteld hebben. Dit moet bovendien worden aangetoond in een Data Protection Impact Assesment (DPIA).
Binnen 72 uur van een datalek dient de organisatie een melding te maken bij de nationale toezichthouder. Een datalek gebeurt sneller dan men denkt. Wanneer laptops van werknemers geen versleuteling gebruiken en deze laptop wordt gesloten/per ongeluk achtergelaten is dit in feite al een datalek. Bovendien weten veel bedrijven momenteel niet wie er verantwoordelijk is als er gevoelige informatie op straat komt te liggen. Zowel kleine als grote bedrijven zullen met deze aanpassingen dus goed moeten nadenken over hoe veilig er met data om wordt gegaan binnen de organisatie.
Regel snel en makkelijk compliance voor BI & analytics rondom GDPR
De omschakeling naar de GDPR betekent dat het nodig is om een kijkje te nemen naar de manier hoe er met data om wordt gegaan binnen jouw organisatie. Als de organisatie voldeed aan de regels rondom de WBP betekent dit namelijk niet dat je ook compliant bent met de GDPR regels. Bedrijven moeten nu meer weten over hoe data de organisatie in en uit stroomt, en hoe deze bewaard en beveiligd worden. Hoe is bijvoorbeeld de datasecurity geregeld wanneer medewerkers thuis werken? Gaat dit via een beveiligde verbinding of worden gegevens op andere locaties gezet of uitgeprint?
De Discovery Hub
Wanneer je je zaken nog niet helemaal op orde hebt en snel een basis wil vormen voor je BI en Analytics tools kan het een idee zijn om naar TimeXtender producten te kijken. TimeXtender creëert krachtige automatische data warehouse software genaamd de ‘Discovery Hub’. Discovery Hub legt snel en eenvoudig een basis voor GDRP compliance op het gebied van BI en Analytics binnen je organisatie. Met deze software maak je niet alleen nu jouw analytics afdeling compliant, maar ook in de toekomst. Zo beschik je over een ‘future proof’ oplossing. Het is heel eenvoudig om databronnen toe te voegen en om eventuele nieuwe regels te kunnen voorzien. Met deze data warehousing software zorg je ervoor dat je nu en in de toekomst met je BI en Analytics toepassingen rekening houdt met privacyregels. Een aantal functies van Discovery Hub zijn:
- Fully Automated Documentation
Volledig geautomatiseerd en gedocumenteerd. Alles is open voor inspectie - Data Lineage
Je kunt al je data volgen tot de bron - Impact Analysis
Waar-en waarvoor wordt jouw data gebruikt. Welke bestanden hebben invloed op elkaar? - Access control
Beheer toegang tot je data en houdt views per gebruikersrol of named user in de gaten - Data Aggregation
Verzamelingen complexe data blijven overzichtelijk en gedocumenteerd
Bekijk via onderstaande knop meer informatie over hoe TimeXtender organisaties helpt om op tijd hun BI en Analytics afdelingen GDPR compliant te maken.
[1] https://www.emerce.nl/achtergrond/ten-minste-28-duizend-data-protection-officers-nodig