Onlangs was er in perscentrum Nieuwspoort een "bijeenkomst":https://ibestuur.nl/nieuws/de-avg-belicht-vanuit-acht-stellingen van overheidsmanagers die zich bezighouden met de implementatie van de Algemene verordening gegevensbescherming (AVG) binnen hun organisatie. Over een ding waren de deelnemers het eens: er liggen volop kansen. Vaak wordt de AVG geassocieerd met boetes en de verplichting om aan de verordening te kunnen voldoen. Maar het gaat niet alleen over voldoen aan de wetgeving; door slimmer om te gaan met persoonsgegevens kun je kerntaken beter uitvoeren.
De eerste stap die veel bedrijven en overheden zetten bij de implementatie van de AVG is een assessment om inzicht te krijgen in de mate waarin zij compliant zijn. Daaruit volgt een AVG-actieplan en wordt een projectorganisatie ingericht. De eerste acties volgen uit wettelijke verplichtingen: een Functionaris Gegevensbescherming (FG) aanstellen en het vastleggen van beleid en procedures voor privacy. Maar dit is natuurlijk niet het einddoel. Sterker: het kan goed misgaan als er bijvoorbeeld te weinig maatregelen worden genomen om datalekken tegen te gaan. Voorbeelden zien we iedere week in het nieuws. Veel organisaties die wij spreken worstelen met de tweede stap: daadwerkelijk aan de slag gaan met systemen en data en daarmee kansen benutten om veiliger en vollediger om te kunnen gaan met gestructureerde en ongestructureerde data.
Alles begint met weten waar persoonsgegevens zich precies bevinden in de brei aan ongestructureerde data in de organisatie. Dat kunnen bijvoorbeeld ongestructureerde databronnen zijn als e-mailsystemen en gedeelde netwerkschijven Daarvoor moet je eerst de belangrijkste ongestructureerde databronnen identificeren en de kenmerken definiëren van persoonsgegevens die je wilt vinden. Omdat handmatig zoeken veel tijd kost worden vaak data discovery tools gebruikt om de systemen te doorzoeken. Het resultaat is dat inzichtelijk wordt welke persoonsgegevens zich waar bevinden. Dan moet de afweging worden gemaakt of deze persoonlijke data echt wel nodig zijn voor de operatie of bijvoorbeeld beter verwijderd kunnen worden. En vervolgens kan de organisatie bepalen welke securitymaatregelen genomen moeten worden. Denk aan encryptie van bestanden, mappen en applicaties.
Volledig en veilig gebruik van persoonsgegevens
Gebruik van data is voor veel organisaties van levensbelang. Dat geldt uiteraard ook voor het gebruik van persoonsgegevens. Maar het risico van een datalek of hack is altijd aanwezig. De AVG stelt eisen aan het beveiligen van (gevoelige) persoonsgegevens; door het pseudonimiseren van data bijvoorbeeld. Door persoonsgegevens te pseudonimiseren kun je toch gebruikmaken van de data, maar zijn deze beter beschermd tegen verlies, diefstal of andere ongewenst gebruik.
Het is belangrijk om enerzijds te voorkomen dat persoonsgegevens worden gebruikt door personen die daarvoor niet geautoriseerd zijn. Anderzijds wil je als organisatie wel gewoon aan business intelligence (BI) doen, testen uitvoeren in de testomgeving en (gevoelige) persoonsgegevens delen binnen de organisatie. Een uitstekende methode om dit te doen is pseudonimiseren of masken van persoonsgegevens. Daarvoor moet je data (door middel van data discovery) in kaart hebben en regels definiëren. Vervolgens moet je kiezen voor de meest passende pseudonimiseringsstrategie en deze toepassen. Het resultaat is dat de data niet direct te herleiden zijn naar een persoon en gebruik hiervan in een test- of BI-omgeving beter beschermd is.
Maatregelen op weg naar compliance
Voer data discovery uit op de belangrijkste systemen waarin vermoedelijk persoonsgegevens staan. Met behulp van data discovery tools kan het zoeken naar persoonsgegevens gedeeltelijk geautomatiseerd worden uitgevoerd.
• Voer risicoanalyses uit op de systemen waarin persoonsgegevens zijn gevonden op verwerkingen met een hoog risico. Met behulp van een gegevensbeschermingseffectbeoordeling (ook wel DPIA) kan worden bepaald wat de privacyrisico’s van de gegevensverwerkingen zijn. Het uitvoeren van een DPIA kan worden ondersteund door tools. Met behulp van workflows kunnen slimme vragenlijsten (aan de hand van gegeven antwoorden worden andere of aanvullende vragen gesteld en mitigerende maatregelen voorgesteld) worden voorgelegd aan data-eigenaren. Hiermee is ook de audit trail goed geborgd.
• Neem de juiste securitymaatregelen. Op basis van de DPIA moeten maatregelen worden genomen ten aanzien van mensen, proces en technologie. Hierbij valt te denken aan data masking, identity & access management (IAM), database encryptie of monitoring van gebruik van data in databases.
• Belangrijk is dat er op het gebied van technologische oplossingen geen one size fits all bestaat. Kijk daarom heel goed wat past binnen de organisatie en het landschap. Op deze manier zet je als organisatie stappen in de implementatie van oplossingen om – behalve compliant zijn – ook maximaal de kansen te benutten die de AVG biedt.
Kim Boermans is director data protection & GDPR | Capgemini
