In ons dagelijkse werk praten we met steeds grotere regelmaat met klanten en partners over ‘data protection’ en dragen we daar oplossingen voor aan. Sinds de aankondiging van de GDPR (General Data Protection Regulation, 2016/679) is dit significant toegenomen. Graag delen we een aantal interessante observaties.
Organisaties en deskundigen zijn ieder op hun eigen manier bezig met de GDPR. We zien een grote diversiteit in benadering en urgentie; doorgaans gaat men aan de slag op basis van een assessment, maar meestal zonder alomvattend plan. Hopelijk kan de Nederlandse overheid ook bouwen op ervaringen elders – zowel bij bedrijfsleven als andere overheden. Te hopen valt bovenal dat organisaties de GDPR aangrijpen om het niveau van databeveiliging te verhogen.
Het belang van databeveiliging neemt toe
De Nederlandse overheid werkt op vele fronten aan de optimalisatie van de ICT, bijvoorbeeld op het terrein van big data, cloud, digitalisering en ook cyber security. De overheid gebruikt oplossingen die aansluiten op de behoefte van burgers en bedrijven. Daarin is de toepassing van data net zo belangrijk geworden als de bescherming van deze data. Burgers en bedrijven vertrouwen erop dat de overheid deze data beschermt.
Vanaf 25 mei 2018 zal de GDPR worden gehandhaafd. Hoewel op het moment van schrijven onzeker is hoe de nieuwe regels zullen worden gehandhaafd, staat vast dat:
• Data steeds meer wordt toegepast door de overheid.
• De waarde van data toeneemt en daarmee de kans op misbruik groeit.
• De impact van misbruik op burgers, bedrijven en overheden toeneemt.
• Mogelijkheden om data te beschermen steeds beter worden.
Welke trends herkennen wij?
In ieder gesprek dat we voeren wordt de ‘strakke GDPR deadline’ bestempeld als uitdagend. Dat vinden wij ook. Dat neemt niet weg dat de periode tot vrijdag 25 mei 2018 kan worden gebruikt om de belangrijkste zaken op orde te krijgen, onder meer door:
• Verantwoordelijkheidsverdeling binnen overheidsorganisaties omtrent GDPR.
• Organiseren van processen, bijvoorbeeld om datalekken te voorkomen en te dichten.
• Bescherming van persoonsgegevens in databases met gestructureerde data en van ongestructureerde data.
• Inbedden van oplossingen voor onder meer het verlenen van toestemming voor gebruik en verwijdering van data.
• Verhogen van bewustzijn van medewerkers omtrent de betekenis van GDPR voor burgers en bedrijven.
Regelmatig wordt gevraagd naar expertise om oplossingen in te bedden in overheidsorganisaties. De combinatie van kennis van publieke organisaties, privacyregelgeving, processen en technologie is schaars. Daarom loont het om te anticiperen, te werken vanuit een ‘shared service center’ of partnerschap aan te gaan met één of meerdere marktpartijen. We zien dat overheidsorganisaties worstelen met dezelfde vragen, en ieder op een eigen manier antwoorden formuleert. Hoewel iedere organisatie uniek is, zien we in onze praktijk ‘best practices’ die voor de meeste situaties gelden. Toepassing van deze praktijken en het betrekken van de juiste expertise, leiden tot versnelling en betere bescherming van data.
Vier behoeften
In onze gesprekken keren vier behoeften terug. In de eerste plaats is er behoefte aan inzicht. Waar staan we als organisatie met betrekking tot de GDPR? Welke acties moeten we nemen om te voldoen aan de wettelijke eisen? Welke data moeten worden beschermd en hoe? In de tweede plaats is er behoefte aan technische oplossingen om data te beschermen. Zijn databases die persoonsgegevens of andere gevoelige data bevatten adequaat beveiligd? Zijn de gestructureerde data en ongestructureerde data beschermd? Is mijn organisatie in staat om data te vernietigen waarvan de bewaartermijn is verlopen? In de derde plaats is er behoefte aan procesmatige oplossingen. Ben ik in staat om een verzoek tot verwijdering van data door burgers of bedrijven te honoreren binnen de gestelde termijn? Heb ik toestemming van burgers van wie de persoonsgegevens worden gebruikt?
In de vierde plaats is er behoefte aan structurele oplossingen. Overheidsmanagers en experts beseffen dat de weerbaarheid van de organisatie samenhangt met het niveau van bewustzijn van medewerkers van veiligheid en privacy. Daarnaast is het de vraag in hoeverre organisaties klaar zijn om adequaat te handelen bij een datalek.
Pas beschikbare kennis toe
Overheden zijn zich anno 2017 terdege bewust van de nieuwe uitdagingen die de GDPR met zich meebrengt. We sluiten af met vijf oplossingsrichtingen die invulling geven aan een behoefte in de publieke sector:
1. Verkrijgen van inzicht in de actuele situatie van een overheidsorganisatie in relatie tot de GDPR en ontwikkelen van een plan om te komen tot een situatie waarin de overheidsorganisatie maximaal voldoet aan de eisen die worden gesteld in de GDPR.
2. Bescherming van persoonsgegevens door beveiliging van databases die persoonsgegevens bevatten, beveiliging van gestructureerde en ongestructureerde data, bijvoorbeeld door deze onbruikbaar te maken wanneer een datalek zich voordoet.
3. Verlenen van toestemming door burgers en bedrijven voor het gebruik en verwijdering van data door toestemmingsverlening in te bedden in overheidsprocessen, en integratie met de serviceportalen van een overheidsorganisatie.
4. Structurele oplossingen, zoals het verhogen van het bewustzijn van privacywetgeving onder medewerkers en adequaat anticiperen en reageren op een datalek.
5. Voortdurende toepassing van ‘lessons learned’ en ‘best practices’ uit overheid en bedrijfsleven, uit binnen- en buitenland, om data van burgers en bedrijven blijvend te beveiligen.
Kim Boermans is bij Capgemini verantwoordelijk voor data protection in Europa en Maxwell Keyte voor cyber security in Europa.