AVG compliance: automatisering is key

Foto Herman van Dellen MSc
Auteur: Herman van Dellen MSc
Data Science Consultant
Inhoudsopgave

In veel checklists waarmee je kunt vaststellen of je aan de AVG-richtlijnen voldoet, ligt de nadruk op de vraag welke persoonsgegevens je verwerkt en of je daar wel een grondslag voor hebt. Meestal krijg je nog veel meer indringende vragen voorgeschoteld zoals: hoe heb je de verantwoordelijkheid voor het proces in de organisatie belegd? En wordt er wel een register van verwerkingsactiviteiten bijgehouden? Inmiddels zijn de “rechten van betrokkenen” stevig verankerd in de wet. Als je daar serieus mee aan de slag gaat, blijkt al snel dat compliance niet zo simpel is af te vinken. In deze blog schetsen we vijf stappen om te allen tijde toch compliant te blijven.

De privacywet AVG bevat richtlijnen

De privacywet, ook wel Algemene Verordening Gegevensbescherming, AVG of GDPR, genoemd, bevat richtlijnen en voorwaarden voor het verzamelen, verwerken en in bezit hebben van persoonsgegevens.

Zo moet je als organisatie weten welke persoonsgegevens je waar hebt opgeslagen en dat is niet triviaal en zeker niet eenvoudig na te gaan. Je hebt namelijk veel meer data opgeslagen en in veel meer systemen dan je denkt. Ook moet je als een persoon dat vraagt in staat zijn om een overzicht te geven van alle persoonsgegevens die je van die persoon hebt opgeslagen in al je systemen. En wanneer een klant gebruik wil maken van zijn recht om “vergeten” te worden, moet je dat verzoek met een druk op de knop kunnen uitvoeren. Hoe kan ICT je helpen om compliant te worden?

Tref de noodzakelijke ICT-voorzieningen

Om compliant te zijn (en te blijven), moet je dus bepaalde ICT-voorzieningen treffen om aan de AVG-rechten van klanten en burgers te kunnen voldoen. Deze voorzieningen hebben betrekking op data (in casu persoonsgegevens) en metadata: wat heb ik waar en van wie opgeslagen in mijn systemen?

De Autoriteit Persoonsgegevens geeft in de Handleiding Algemene verordening gegevensbescherming een uitgebreid overzicht van de zogenoemde rechten van betrokkenen (zie hoofdstuk 7). Om het belang van een goede handelswijze ten aanzien van metadata nog eens extra te benadrukken, lichten we hier een paar rechten uit:

  • het recht op informatie over de verwerkingen.
  • het recht op inzage in gegevens.
  • het recht op correctie van de gegevens als deze niet kloppen.
  • het recht op verwijdering van de gegevens en “het recht om vergeten te worden”.
  • het recht op overdracht van gegevens (dataportabiliteit).

Het 5-stappen plan

Het onderstaande stappenplan geeft een overzicht van wat je kunt doen om de ICT-voorzieningen op orde te krijgen. Het automatiseren van deze voorzieningen is sterk aan te raden, omdat ad-hocacties naar aanleiding van informatieverzoeken tijdrovend en arbeidsintensief zijn, waarbij bovendien de kans op fouten toeneemt.

1. Implementeer een metadata managementsysteem

Om bovengenoemde rechten en aanvragen te kunnen eerbiedigen en honoreren, is het noodzakelijk dat er in de organisatie een actueel overzicht is dat aangeeft welke persoonsgegevens waar zijn opgeslagen. Voor de definitie van wat in een organisatie beschouwd wordt als “persoonsgegevens” is de functionaris gegevensbescherming (FG) de eindverantwoordelijke. Deze persoon zal dan ook nauw betrokken zijn in deze eerste belangrijke stap. Hij of zij kan hierbij beschikken over verschillende hulpmiddelen, technieken en systemen:

  • Met pattern matching technieken (patroonvergelijking: het herkennen van een specifiek patroon in data) kun je in kaart brengen welke data stores (database tabellen, kolommen en bestanden) persoonsgegevens bevatten, zoals e-mailadressen, telefoonnummer(s), NAW-gegevens et cetera.
  • Een zogenoemd discovery-systeem kan alle databases in de organisatie scannen op tabel- en kolomnamen die (mogelijk) persoonlijke gegevens bevatten.

Vaak zijn persoonsgegevens in veel meer systemen opgeslagen dan je in eerste instantie denkt.

Let op: vaak zijn persoonsgegevens in veel meer systemen opgeslagen dan je in eerste instantie denkt. Er zijn bijvoorbeeld kopieën van databases in ontwikkel- en testomgevingen en binnen acceptatiesystemen. Maar ook datawarehouses, BI-toepassingen et cetera zijn belangrijke “vindplaatsen” voor persoonsgegevens. Om compliant te zijn, is het dus zaak alle systemen in de organisatie te scannen.

2. Automatiseer het updaten van de metadata

In operationele databases van bijvoorbeeld SAP, Salesforce et cetera vinden regelmatig uitbreidingen (nieuwe database-tabellen/kolommen) plaats. Een datawarehouse– of BI-omgeving wordt regelmatig gesynchroniseerd met de operationele databases. Om steeds een actueel overzicht te hebben van opgeslagen persoonsgegevens, is het belangrijk om dit regelmatig te updaten. Het bij stap 1 beschreven discovery-systeem voert zo’n update idealiter dus dagelijks uit.

Kortom: zonder een geautomatiseerd metadata update-proces is het vrijwel onmogelijk om altijd over een geactualiseerd overzicht te beschikken van alle opgeslagen persoonsgegevens.

Volg de training Datawarehouse & Data Governance Afbeelding van Volg de training Datawarehouse & Data GovernanceWaar moet je allemaal op letten om de privacy van personen te borgen? Hoe ga je voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Hoe richt je je datawarehouse-proces daarop in? Deze vragen staan onder meer centraal tijdens de 3-daagse overkoepelende, brede opleiding Datawarehouse & Data Governance.bekijk de opleiding Datawarehouse & Data Governance

3. Automatiseer het verzamelen van persoonsgegevens

Bij een verzoek om inzage (welke persoonsgegevens bewaren jullie van mij en waar?) moet deze informatie gemakkelijk kunnen worden verzameld en gerapporteerd. Concreet geef je als organisatie hiermee invulling aan het recht op inzage en het recht op dataportabiliteit.

Met de hiervoor beschreven actuele metadata is dat eenvoudig te realiseren. Met het klantnummer of ID kun je immers – gebruikmakend van de organisatie-brede metadata – gemakkelijk een compleet overzicht genereren en exporteren.

4. Stel een standaardprocedure op voor het recht op vergetelheid

Wanneer een verzoek wordt gedaan om “vergeten” te worden, moet er een procedure zijn om dit te implementeren. Hierbij is het belangrijk dat alleen de persoonsgegevens worden verwijderd, niet de bedrijfskritische gegevens, zoals bijvoorbeeld omzet. Er zijn verschillende manieren om persoonsgegevens te verwijderen. Vaak is het mogelijk om bepaalde gegevens (verkooptransacties et cetera) te behouden na anonimisering of pseudonimisering. Als ook het klantnummer moet worden geanonimiseerd (dat wordt bepaald door de FG, zie ook stap 5) moeten er voorzieningen worden getroffen om gegevens over omzet en dergelijke toch te kunnen rapporteren.

Let op: het uitoefenen van het recht op vergetelheid geldt voor de hele organisatie en alle afdelingen, zoals Marketing, Verkoop en de BI-afdeling (datawarehouse en managementinformatie). Hier blijkt opnieuw het nut van centraal gedefinieerde en opgeslagen metadata: de hier besproken procedure kan voor de hele organisatie worden uitgevoerd.

Het uitoefenen van het recht op vergetelheid geldt voor de hele organisatie.

Een verzoek om vergeten te worden kan bij verschillende afdelingen binnenkomen: bij de marketingafdeling naar aanleiding van een e-mailcampagne of nieuwsbrief, bij de helpdesk enzovoorts. Afhandeling van deze verzoeken kan in de desbetreffende afdeling worden geregistreerd, maar moet vervolgens ook worden gecommuniceerd aan bijvoorbeeld de BI-afdeling. Stap 4 betreft dus niet alleen het verwijderen van persoonsgegevens, maar ook de centrale detectie hiervan.

5. Zorg ervoor dat de FG de metadata gemakkelijk kan reviewen of wijzigen

De AVG-verantwoordelijke in de organisatie (FG, verwerkingsverantwoordelijke) is verantwoordelijk voor de definitie (wat beschouwen we als persoonsgegevens?) en beheer van de metadata. Vaak maakt de FG deel uit van een team waarin ook juridische medewerkers en controllers participeren.

Bij het bij het monitoren van de ICT-aspecten zijn inzicht in en toegang tot de definities van de metadata voor de FG en zijn team cruciaal voor een adequate taakvervulling. De metadata moet dus op een gebruiksvriendelijke manier toegankelijk zijn. De hier besproken 5 stappen dienen het gezamenlijk belang van de FG en de ICT-afdeling.

Lees ook: het artikel AVG is geen bedreiging, maar een kans.

Conclusie

De AVG gaat over data. Een intelligente, datagedreven organisatie voegt daaraan metadata toe en kan met een druk op de knop voldoen aan alle rechten van betrokkenen. Nog een voordeel: als er een DPIA (data protection impact assessment) moet worden uitgevoerd, kan de organisatie met dezelfde druk op de knop compliance aantonen voor de rechten van betrokkenen.

Bekijk het PDCA-handboek 'Datacratisch werken'

Productafbeelding van het PDCA-handboek 'Datacratisch werken'