Bent u al klaar voor GDPR?
26 januari 2017 [10:30], 11449 views
Door Rein Mertens

Bent u al klaar voor GDPR?

Het kan u bijna niet ontgaan zijn: in mei 2018 wordt de nieuwe verordening voor de bescherming van persoonsgegevens (GDPR) van kracht. Deze verordening geldt voor alle bedrijven die werkzaam zijn binnen de EU. Uit onderzoek blijkt echter dat een jaar na de officiële aanname door de Europese Unie, de meerderheid van de IT- en business professionals niet voorbereid is, of niet weet of er een plan is voor de implementatie van GDPR in hun organisatie. Met slechts ruim één jaar te gaan, is het de hoogste tijd om bedrijven duidelijk te maken dat er anders omgesprongen moet worden met persoonsgegevens.

Voor degenen die nog niet op de hoogte zijn; het doel van de GDPR is om de privacy en   integriteit van persoonsgegevens van consumenten beter te beveiligen. Is er sprake van een datalek, dan moet een organisatie in staat zijn om dit binnen 72 uur aan de autoriteiten en mogelijk getroffen klanten te melden. Het risico van niet-naleving van de regels is een boete tot 20 miljoen dollar of 4% van de wereldwijde jaaromzet. Ondanks deze hoge boetes laat onderzoek uitgevoerd door Dimensional Research (gesponsord door Dell) dat eind 2016 is gepubliceerd, zien dat meer dan 80 procent van de respondenten niets of slechts een paar details weet van de GDPR. Bijna alle ondervraagde bedrijven (97%) heeft bovendien geen plan klaarliggen, hoewel meer dan 90% van de respondenten wel stelt dat hun bestaande beleidsvoering niet voldoet aan de GDPR-eisen.

Onduidelijkheid

Een van de grootste problemen met de nieuwe verordening is de onduidelijkheid over wat wel en wat niet is toegestaan. Ondanks dat niet elk detail of elke stap, van governance tot security, in de tekst van de GDPR op detail wordt beschreven, is dat natuurlijk geen reden om rustig achterover te leunen. Dus laten we beginnen met wat we wél weten. In de nieuwe verordening is de definitie van persoonsgegevens veranderd naar ‘alle gegevens die de identificatie van een persoon indirect of direct mogelijk maken’. Deze definitie is erg breed, omdat het alle informatie betreft over 'een identificeerbaar natuurlijk persoon'. Denk hierbij aan een naam, locatiegegevens, economische, sociale of culturele identiteit. De meest gebruikte definitie van deze persoonsgegevens is 'persoonlijk data’ (PD).

Van max naar min

Data scientists stellen dikwijls: hoe meer data (inclusief PD) we verzamelen, hoe meer we kunnen weten over onze klanten, de markt, het milieu, etcetera. Met allerlei nieuwe technologieën verzamelen we meer data dan ooit. En met behulp van geavanceerde big data analytics onttrekken we vaak bruikbare, maar ook minder nuttige informatie. Dit wordt ook wel 'surprise maximalisatie' genoemd: analyses uitvoeren met behulp van algoritmes op grote hoeveelheden data. Deze ontwikkeling staat haaks op onze privacy-wetgeving en roept ethische vragen op over het gebruik van data. Binnen de GDPR zal de regelgeving hieromtrent strenger zijn, om voor consumenten meer privacy te garanderen. Vanaf mei 2018 is 'data-minimalisering' voor PD verplicht. Dit betekent dat je niet meer gegevens mag verzamelen en verwerken dan dat je daadwerkelijk nodig hebt om je vooraf gestelde doel te verwezenlijken. Een eenvoudig voorbeeld, als je alleen een naam, adres en postcode voor het verzenden van orders, is het niet nodig om het webformulier ook om een telefoonnummer te vragen. Het staat in de lijn der verwachting dat er binnen de GDPR  meer flexibiliteit zal zijn wanneer de data anoniem, ge-pseudonimiseerd of versleuteld wordt verwerkt.

Privacy by design

Data-minimalisatie is een onderdeel van het 'privacy-by-design' principe binnen de GDPR. In de ontwikkelingsfase van (nieuwe) producten of diensten, moet een organisatie zo vroeg mogelijk rekening houden met de privacy van PD Voor alle data moet je dus expliciet weten waar het voor gebruikt zal worden en of er behoefte is aan pseudonimisatie. Bent u al bezig met het maken van een PD-inventarisatie? In welke systemen, databases en servers zit de PD opgeslagen of wordt het verwerkt? Wat betekent het beginsel van ‘privacy by design’ voor huidige en nieuwe data lakes, data warehouses en applicaties?

Uit onderzoek blijkt dat veel bedrijven momenteel niet in staat zijn bovenstaande vragen te beantwoorden. Het is belangrijk om goed voorbereid te zijn op de veranderingen die de GDPR meebrengt. Niet alleen om hoge boetes te voorkomen, maar om de voordelen voor uw organisatie slim in te zetten. Wilt u meer weten? Meld u aan voor onze Insight sessie of bezoek deze website met meer informatie.

Over de auteur

Rein Mertens is Head of Customer Advisory SAS Platform en werkt sinds 1995 bij SAS Nederland, momenteel in de rol van Head of Analytical Platform. Met zijn team pre-sales consultants en data scientists adviseert hij nieuwe en bestaande klanten over de toegevoegde waarde van de inzet van SAS oplossingen voor informatie management, business analytics en visualisatie, machine learning en AI vraagstukken. Als gecertificeerde Data Privacy Officer is Rein tevens nauw betrokken bij de impact van de nieuwe data privacy wetgeving per mei 2018 (AVG) op data management en data science projecten. Rein is inhoudelijk betrokken bij de verschillende SAS User group events en zit in internationale werkgroepen om op basis van klantinput mee te denken met de prioriteitsstelling en verbetering van de SAS-producten.

Reacties

Laat privacywetgeving je niet verlammen en blijf innoveren met AI
26 februari 2019 [11:33], 4652 views

Laat privacywetgeving je niet verlammen en blijf innoveren met AI

Kunstmatige intelligentie (AI) biedt veel kansen, mogelijkheden en voordelen voor innovatie. Wat is de impact van deze nieuwe privacywetgeving op AI-projecten? 

 

Lees meer  

Onze fitness-data delen met onze verzekeraar? Waarom ook niet?
2 januari 2019 [09:02], 2655 views

Onze fitness-data delen met onze verzekeraar? Waarom ook niet?

Een Amerikaanse verzekeraar beloont klanten die hun fitness-data delen. Daar komen praktische en privacygerelateerde bezwaren bij kijken, maar Mark Lambrecht ziet oo [...]

 

Lees meer  

Hoe verandert de technologische ontwikkeling de strategie van toezicht en handhaving?
23 november 2018 [09:21], 2906 views

Hoe verandert de technologische ontwikkeling de strategie van toezicht en handhaving?

Big data, data analytics, Internet of Things, cryptomunten, blockchain, kunstmatige intelligentie, FinTech en robotisering spelen een steeds belangrijkere rol in het [...]

 

Lees meer  

Hoe bouw je een efficiënt data governance programma?
13 september 2018 [03:25], 5250 views

Hoe bouw je een efficiënt data governance programma?

Data governance is geen oud concept; bij SAS hebben we het al jaren over de voordelen van data governance. Het wordt echter vaak als een ‘nice to have’ gezien, ook a [...]

 

Lees meer  

SAS is benoemd tot leider in de Gartner Magic Quadrant voor data-integratie
6 september 2018 [11:55], 2368 views

SAS is benoemd tot leider in de Gartner Magic Quadrant voor data-integratie

Gartner heeft SAS voor het achtste jaar op rij uitgeroepen tot leider in data-integratie tools.

 

Lees meer  

Honderdduizenden variabelen naar een unieke DNA Fingerprint: een stap naar ‘personalized medicine’
13 augustus 2018 [10:30], 4073 views

Honderdduizenden variabelen naar een unieke DNA Fingerprint: een stap naar ‘personalized medicine’

Zijn data scientists in staat om nieuwe inzichten te halen uit genetische data van de patiënt, met als doel om kanker beter te begrijpen en behandelingen beter [...]

 

Lees meer  

Hoe verandert de technologische ontwikkeling de strategie van toezicht en handhaving
27 juli 2018 [10:53], 4771 views

Hoe verandert de technologische ontwikkeling de strategie van toezicht en handhaving

Big data, data analytics, Internet of Things, cryptomunten, blockchain, kunstmatige intelligentie, FinTech en robotisering spelen een steeds belangrijkere rol in het maats [...]

 

Lees meer  

Gepersonaliseerde zorg
28 mei 2018 [06:10], 2190 views

Gepersonaliseerde zorg

Gepersonaliseerde zorg is de focus van de huidige zoektocht in de zorg. Het Nederlandse zorgsysteem is dan wel wereldwijd één van de voorlopers, tegelijkertijd wille [...]

 

Lees meer  

Waarin onderscheiden data-driven organisaties zich?
13 februari 2018 [11:00], 6101 views

Waarin onderscheiden data-driven organisaties zich?

Je hoort het vaak in bestuurskamers: we willen een data-driven organisatie zijn.  Maar wat zijn de werkelijke business drivers? Onderzoek laat zien op welke terreinen orga [...]

 

Lees meer  

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete
28 januari 2018 [03:07], 1855 views

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete

Vandaag is het Data Protection Day, ofwel de Internationale Dag van de Privacy. Met het in werking treden van de GDPR/AVG 25 mei dit jaar, is deze dag zo mogelijk no [...]

 

Lees meer