GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete
28 januari 2018 [03:07], 1232 views
Door Rein Mertens

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete

Vandaag is het Data Protection Day, ofwel de Internationale Dag van de Privacy. Met het in werking treden van de GDPR/AVG 25 mei dit jaar, is deze dag zo mogelijk nog belangrijker om aandacht te vragen voor privacy. Niet alleen bij consumenten die alert moeten zijn, maar ook bij organisaties die serieuze risico’s lopen bij het niet voldoen aan de nieuwe wetgeving. En dan heb ik het niet over de aanzienlijke boetes die kunnen worden uitgedeeld als gevolg bij het niet compliant zijn. 

Privacy is niet zomaar iets: het is een grondrecht. In de Universele Verklaring van de Rechten van de Mens is privacy geborgd als mensenrecht. Met de komst van de GDPR/AVG wetgeving worden de rechten van de betrokkenen verder uitgebreid, met onder andere het recht om vergeten te worden en het recht op overdraagbaarheid van gegevens.

Als een organisatie straks niet voldoet aan de vereisten van de GDPR/AVG, kan het een nogal publieke aangelegenheid worden. Niet alleen bestaande klanten komen te weten dat er een overtreding is begaan, maar ook de toekomstige klanten. Daarom zouden niet alleen de boetes die kunnen worden opgelegd bij overtreding een belangrijke kopzorg moeten zijn. Het potentiële risico voor reputatieschade zou evenzo hoog op de agenda moeten staan.

 De waarde van vertrouwen

Vertrouwen is de merkvaluta van de digitale economie en een belangrijke pijler van een reputatie. Zonder vertrouwen zijn klanten slechts één klik verwijderd van overstappen naar een concurrent. Een overtreding van de GDPR/AVG heeft de potentie om jarenlange merkentrouw en vertrouwen van klanten te schaden. Een zorgvuldig opgebouwde reputatie kan daarmee grotendeels om zeep geholpen worden. 
Als je de belangrijkste elementen van de GDPR/AVG bekijkt, zie je dat deze twee belangrijke vragen oproepen op het gebied van vertrouwen:

-       Kunnen EU-inwoners u vertrouwen met hun gegevens?
-       Gebruikt u een systeem voor het beheren van data (en persoonsgegevens in het bijzonder) om dat vertrouwen mogelijk te maken?

Laten we eens kijken naar een paar componenten van de GDPR/AVG zoals ze in de verordening worden beschreven vanuit de optiek van data management, datakwaliteit en data governance.

Persoonsgegevens

Persoonsgegevens zijn alle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Persoonsgegevens moeten juist zijn en, waar nodig, moet de kwaliteit kunnen worden verbeterd: Beschikt de organisatie over juiste processen en tools om datakwaliteit op continue basis te garanderen?
Persoonsgegevens moeten zorgvuldig worden verwerkt door gebruik te maken van de juiste technische en organisatorische maatregelen: Zijn er alleen geautoriseerde werknemers in het bedrijf die toegang hebben tot bepaalde gegevens?

Rechtmatigheid van de verwerking (Art. 6)

De verwerking van persoonsgegevens is alleen rechtmatig indien er ten minste een van de onderstaande voorwaarden is voldaan: ondubbelzinnige toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang, gerechtvaardigd belang. Is de grondslag van alle verwerkingen vastgelegd, en wordt deze ook nageleefd en gecontroleerd? 

Voorwaarden voor toestemming (Art. 7)

In het geval van ondubbelzinnige toestemming moet er worden aangetoond dat de betrokkene heeft ingestemd met de verwerking van zijn of haar persoonlijke gegevens: Is deze toestemming geregistreerd en is duidelijk gemaakt aan de betrokkene voor welke doeleinden de persoonlijke data wordt gebruikt? Hoe wordt dit in de verschillende systemen geborgd? 

Recht om vergeten te worden  (Art. 17)

Betrokkenen (bijvoorbeeld een consument) kunnen eisen dat organisaties onverwijld gegevens wissen die hem of haar betreffen: Is er een geïntegreerd beeld van de gegevens van de klant en kan ervoor worden gezorgd dat indien gewenst alle gegevens worden gewist?

Recht op overdraagbaarheid van gegevens (Art. 20)

De betrokkene (bijvoorbeeld een klant) heeft het recht gegevens door te laten sturen naar een andere partij. Staan alle gegevens van de klant op één plek en zijn er processen ingericht die het overdragen van deze data naadloos maken?

Het positief kunnen beantwoorden van bovenstaande vragen, draagt niet alleen bij aan het voldoen aan de GDPR/AVG, maar ook aan het bevorderen van het vertrouwen van klanten en het uiteindelijk versterken van de reputatie van de organisatie. Daarmee is de GDPR/AVG voor uw reputatie niet alleen een risico, maar misschien nog wel een grotere kans.  

Over de auteur

Rein Mertens is Senior Manager en werkt sinds 1995 bij SAS Nederland, momenteel in de rol van Head of Analytical Platform. Met zijn team pre-sales consultants en data scientists adviseert hij nieuwe en bestaande klanten over de toegevoegde waarde van de inzet van SAS oplossingen voor informatie management, business analytics en visualisatie, machine learning en AI vraagstukken. Als gecertificeerde Data Privacy Officer is Rein tevens nauw betrokken bij de impact van de nieuwe data privacy wetgeving per mei 2018 (AVG) op data management en data science projecten. Rein is inhoudelijk betrokken bij de verschillende SAS User group events en zit in internationale werkgroepen om op basis van klantinput mee te denken met de prioriteitsstelling en verbetering van de SAS-producten.

Reacties

Hoe bouw je een efficiënt data governance programma?
13 september 2018 [03:25], 1351 views

Hoe bouw je een efficiënt data governance programma?

Data governance is geen oud concept; bij SAS hebben we het al jaren over de voordelen van data governance. Het wordt echter vaak als een ‘nice to have’ gezien, ook a [...]

 

Lees meer  

Tien tips om data governance in te richten
22 mei 2018 [01:53], 757 views

Tien tips om data governance in te richten

Data governance heeft in organisaties nog wel eens een negatieve bijklank. Onterecht, want als er één manier is om de ROI op data en IT te verhogen dan is het wel ee [...]

 

Lees meer  

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete
28 januari 2018 [03:07], 1233 views

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete

Vandaag is het Data Protection Day, ofwel de Internationale Dag van de Privacy. Met het in werking treden van de GDPR/AVG 25 mei dit jaar, is deze dag zo mogelijk no [...]

 

Lees meer  

Analytics in de cloud: de voordelen en voorwaarden
22 januari 2018 [08:59], 1109 views

Analytics in de cloud: de voordelen en voorwaarden

Wat zijn de voorwaarden om analytics uit te voeren in de cloud? En wat zijn de voordelen? 

 

Lees meer  

Besteden data science opleidingen voldoende aandacht aan compliance?
18 januari 2018 [12:01], 1144 views

Besteden data science opleidingen voldoende aandacht aan compliance?

Werkgevers klagen geregeld dat net afgestudeerden nog niet de juiste bagage hebben om aan de slag te gaan. Zo is er soms bijvoorbeeld te weinig beheersing van specifieke d [...]

 

Lees meer  

Vieze data nog steeds het grootste knelpunt voor Data Scientists
27 november 2017 [11:15], 3383 views

Vieze data nog steeds het grootste knelpunt voor Data Scientists

Wie in Google de zoekterm ‘dirty data’ intikt krijgt binnen een halve seconde meer dan 8 miljoen resultaten waarvan ook veel van jaren geleden. Het probleem is dus b [...]

 

Lees meer  

Verhoog ROI op data en IT met governance
7 november 2017 [05:37], 2992 views

Verhoog ROI op data en IT met governance

Bedrijven met een effectieve data governance strategie halen een 40 procent hogere ROI op hun IT-investeringen dan hun concurrenten. Alle reden dus om data governanc [...]

 

Lees meer  

SAS kondigt oplossing aan voor GDPR compliance
30 oktober 2017 [11:05], 1374 views

SAS kondigt oplossing aan voor GDPR compliance

De GDPR dwingt organisaties maatregelen treffen om inzicht te krijgen in de manier waarop persoonsgegevens binnen hun organisatie worden verwerkt en beschermd. Om he [...]

 

Lees meer  

Hoe haal je businesswaarde uit de GDPR?
5 oktober 2017 [12:10], 2961 views

Hoe haal je businesswaarde uit de GDPR?

GDPR compliance is verre van eenvoudig. Welke maatregelen moet je treffen om de privacy van hun klanten en medewerkers te beschermen? En hoe haal je hier ook zakelij [...]

 

Lees meer  

Onderzoek: slechts 45 procent  heeft een gestructureerd plan voor GDPR
26 september 2017 [04:46], 1191 views

Onderzoek: slechts 45 procent heeft een gestructureerd plan voor GDPR

SAS deed wereldwijd onderzoek naar de grootste uitdagingen en kansen die organisaties tegenkomen op de weg naar GDPR compliance. Hier de belangrijkste resultaten op een ri [...]

 

Lees meer