In 5 stappen naar duurzame compliance
28 maart 2017 [10:22], 1596 views
Door Redactie

In 5 stappen naar duurzame compliance

Er is al veel gezegd en geschreven over de nieuwe GDPR. En het is duidelijk dat niet voldoen aan de regelgeving ernstige gevolgen kan hebben. Aan de andere kant vertegenwoordigt persoonlijke data enorme waarde en biedt de GDPR ook interessante kansen. Olivier Penel, Business Director Data Management bij SAS, geeft aan dat de deadline van mei 2018 er sneller is dan we denken en het tijd is voor actie. Daarom geeft hij deze 5 praktische stappen voor duurzame compliance.

1.         Toegang

De GDPR eist van organisaties dat zij kunnen bewijzen waar persoonlijke data staat opgeslagen en waar niet. De eerste stap is daarom zorgen dat je toegang hebt tot al je databronnen ongeacht de technologie (traditionele data warehouses of Hadoop-clusters) en het type data (gestructureerd of ongestructureerd, inactieve data die alleen is opgeslagen of data die nog actief wordt gebruikt). Toegang tot de data is een belangrijke randvoorwaarde als je wilt inventariseren welke persoonlijke data je in huis hebt, welke risico’s er zijn voor deze data en om organisatiebrede regels voor data-privacy te implementeren.

2.         Identificatie

Als er toegang is tot databronnen is de volgende stap deze te scannen om de persoonlijke data in de verschillende databronnen te identificeren. Vaak is persoonlijke data verborgen in semi-gestructureerde velden en moet je in staat zijn deze data naar boven te halen en te categoriseren op basis van bijvoorbeeld burgerservicenummers of e-mailadressen. Gezien de datavolumes is dit geen klus die handmatig kan worden uitgevoerd. Ook moet je de data niet alleen classificeren, maar ook indelen op basis van datakwaliteit. Zaken als patroonherkenning, regels voor datakwaliteit en standaardisatie, zijn essentiële elementen in dit proces. Het gebruik van de juiste tools zullen hierbij het verschil maken voor het wel of niet halen van de GDPR-deadline.

3.         Governance

Goed beheer van persoonlijke data start ook met het definiëren wat persoonlijke data is en deze definitie te delen in de hele organisatie. Regels voor data-privacy moeten gedocumenteerd en met iedereen gedeeld worden om er zeker van te zijn dat alleen de juiste personen toegang hebben tot de persoonlijke data. Dit toegangsrecht is gebaseerd op het soort data, de gebruikersgroep waar iemand deel van uitmaakt en de context waarin de data gebruikt wordt. Daarom moeten rollen en definities vastgelegd worden in een governance-model. Zakelijke termen kunnen dan gelinkt worden aan fysieke databronnen en er ontstaat inzicht de levenscyclus van de data; vanaf het punt van creatie tot het punt van consumptie. Dit geeft je het vereiste controleniveau.

4.         Beveiliging

Zodra er een inventarisatie is gemaakt van de persoonlijke data en er een governance-model is geïmplementeerd, is het tijd voor stap 4: het juiste beveiligingsniveau instellen voor de data. Dit kun je op 3 manieren doen: encryptie, pseudonimisatie en anonimisatie. Gebaseerd op de rechten van de gebruiker en de context waarin de data wordt gebruikt, moet de juiste techniek worden toegepast. Zonder overigens de groeiende behoefte aan analytics en (voorspellende) rapportages in de weg te staan. De makkelijkste manier om data-privacy te beschermen is de delete-knop te gebruiken en alleen die data te bewaren die je echt nodig hebt voor je bedrijfskritische processen en analyses.

5.         Auditing

De laatste stap: auditing. Voor de regulator moet je kunnen bewijzen dat:

-       je weet welke persoonlijke data je hebt in jouw datalandschap en waar deze is opgeslagen
-       je de goedkeuring van de betreffende individuen op juiste wijze beheert
-       je in kaart hebt gebracht hoe persoonlijke data wordt gebruikt, door wie en voor welk doeleinde
-       je de juiste processen hebt ingesteld om zaken als ‘the right to be forgotten’ en notificaties voor datalekken te beheren

Daarom moet je in staat zijn rapportages te creëren over het gebruik van persoonlijke data. Dit is niet alleen een GDPR-eis, maar het is ook noodzakelijk om het risiconiveau van je organisatie te bepalen als het gaat om data-privacy.

Meer informatie GDPR compliance

Deze stappen vormen de basis voor een solide plan voor GDPR-compliance. Bekijk voor meer informatie over dit onderwerp ook het webinar of volg de #GDPR #SASroadshow op Twitter. Ook kun je voor advies contact opnemen met Olivier via: Olivier.penel@sas.com.

 

Reacties

Laat privacywetgeving je niet verlammen en blijf innoveren met AI
26 februari 2019 [11:33], 3460 views

Laat privacywetgeving je niet verlammen en blijf innoveren met AI

Kunstmatige intelligentie (AI) biedt veel kansen, mogelijkheden en voordelen voor innovatie. Wat is de impact van deze nieuwe privacywetgeving op AI-projecten? 

 

Lees meer  

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete
28 januari 2018 [03:07], 1567 views

GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete

Vandaag is het Data Protection Day, ofwel de Internationale Dag van de Privacy. Met het in werking treden van de GDPR/AVG 25 mei dit jaar, is deze dag zo mogelijk no [...]

 

Lees meer  

Analytics in de cloud: de voordelen en voorwaarden
22 januari 2018 [08:59], 1395 views

Analytics in de cloud: de voordelen en voorwaarden

Wat zijn de voorwaarden om analytics uit te voeren in de cloud? En wat zijn de voordelen? 

 

Lees meer  

Besteden data science opleidingen voldoende aandacht aan compliance?
18 januari 2018 [12:01], 1536 views

Besteden data science opleidingen voldoende aandacht aan compliance?

Werkgevers klagen geregeld dat net afgestudeerden nog niet de juiste bagage hebben om aan de slag te gaan. Zo is er soms bijvoorbeeld te weinig beheersing van specifieke d [...]

 

Lees meer  

Vieze data nog steeds het grootste knelpunt voor Data Scientists
27 november 2017 [11:15], 4532 views

Vieze data nog steeds het grootste knelpunt voor Data Scientists

Wie in Google de zoekterm ‘dirty data’ intikt krijgt binnen een halve seconde meer dan 8 miljoen resultaten waarvan ook veel van jaren geleden. Het probleem is dus b [...]

 

Lees meer  

SAS kondigt oplossing aan voor GDPR compliance
30 oktober 2017 [11:05], 1686 views

SAS kondigt oplossing aan voor GDPR compliance

De GDPR dwingt organisaties maatregelen treffen om inzicht te krijgen in de manier waarop persoonsgegevens binnen hun organisatie worden verwerkt en beschermd. Om he [...]

 

Lees meer  

Hoe haal je businesswaarde uit de GDPR?
5 oktober 2017 [12:10], 3724 views

Hoe haal je businesswaarde uit de GDPR?

GDPR compliance is verre van eenvoudig. Welke maatregelen moet je treffen om de privacy van hun klanten en medewerkers te beschermen? En hoe haal je hier ook zakelij [...]

 

Lees meer  

Onderzoek: slechts 45 procent  heeft een gestructureerd plan voor GDPR
26 september 2017 [04:46], 1401 views

Onderzoek: slechts 45 procent heeft een gestructureerd plan voor GDPR

SAS deed wereldwijd onderzoek naar de grootste uitdagingen en kansen die organisaties tegenkomen op de weg naar GDPR compliance. Hier de belangrijkste resultaten op een ri [...]

 

Lees meer  

Meer dan 70% van de organisaties verwacht verbetering van data governance door GDPR
7 juli 2017 [10:00], 1878 views

Meer dan 70% van de organisaties verwacht verbetering van data governance door GDPR

Bijna alle organisaties (98%) voorzien aanzienlijke uitdagingen door de invoering van de GDPR, zo blijkt uit recent onderzoek. Er is behoefte aan duidelijkere richtlijnen. 

 

Lees meer  

Verzekeraar Interamerican zet serieuze stappen richting GDPR-compliance
28 juni 2017 [03:35], 2316 views

Verzekeraar Interamerican zet serieuze stappen richting GDPR-compliance

Steeds meer verzekeraars transformeren naar een digitale organisatie. De bescherming van persoonsgegevens is een ‘hot issue’, zeker in deze tijd met big data en Internet o [...]

 

Lees meer