De GDPR gaat niet alleen over de bescherming van data. De Europese richtlijn schenkt Europeanen ook veel meer macht over hun persoonlijke gegevens. Bogdan Teleuca, Senior Business Solutions Manager bij SAS, licht toe over welke rechten Europese consumenten vanaf 25 mei beschikken.
Oude wijn in nieuwe zakken?
Veel van de consumentenrechten in de GDPR zijn nochtans niet nieuw, geeft ook Bogdan toe: “Het merendeel van de data subject rights die besproken worden in de GDPR waren al van kracht in de meeste West-Europese en ook sommige Oost-Europese landen. Het recht om te weten over welke persoonsgegevens een bedrijf beschikt bijvoorbeeld, maar ook het recht om deze gegevens te raadplegen of te wijzigen”, aldus Bogdan Teleuca. “Al die rechten bestonden al, maar consumenten hadden niet de gewoonte om ze te gebruiken. Dat gaat nu ongetwijfeld veranderen. De GDPR eist immers dat een bedrijf veel meer en veel duidelijkere informatie vrijgeeft over wat het met die persoonsgegevens wil gaan doen en hoelang het die bedrijfsgegevens wil bijhouden. Het zal dus niet langer volstaan om de gegevens van consumenten te vragen om hen ‘op de hoogte te houden van komende promoties en nieuws’. Bedrijven zullen expliciet moeten vermelden welke gegevens er worden opgevraagd en waarom. Voor gevoelige informatie, zoals financiën, etniciteit, biometrics, politieke of seksuele voorkeur en ga zo maar verder, zal je bovendien omstandig moeten motiveren waarom je die gegevens nodig hebt.”
Nieuwe rechten, nieuwe uitdagingen
Daarnaast krijgen volgens Teleuca vooral de nieuwe rechten in de GDPR tegenwoordig veel aandacht, en dan met name het recht om vergeten te worden. “Veel bedrijven blijken daar toch mee te worstelen. Dat is niet noodzakelijk een kwestie van slechte wil, maar eerder van technologische beperkingen. Gegevens wissen uit een klassieke database is immers vrij makkelijk, maar je moet daarbij erg goed opletten dat je geen andere processen in de war stuurt die op deze data zijn gebaseerd. In sommige gevallen is het daarom beter om gegevens te anonimiseren eerder dan ze te verwijderen. Andere nieuwe rechten zijn het recht op overdraagbaarheid – al bestond ook die al langer in bijvoorbeeld de telecomsector – en het recht om zich te verzetten tegen de verwerking van uw persoonsgegevens.”
"Bedrijven moeten stoppen met dromen van een knop waar ze op kunnen drukken om vervolgens als bij wonder volledig compliant te zijn. Dat gaat eenvoudigweg niet lukken"
Waarom automatisatie geen goed idee is
Bogdan Teleuca is het ermee eens dat al deze rechten bedrijven met veel meer administratie gaan opzadelen. En toch vindt hij automatisatie in het kader van de GDPR geen goed idee. “Bedrijven moeten stoppen met dromen van een knop waar ze op kunnen drukken om vervolgens als bij wonder volledig compliant te zijn. Dat gaat eenvoudigweg niet lukken. Ze moeten het waanbeeld opgeven dat compliancy geautomatiseerd kan worden. Technologie is uiteraard een cruciale factor in de facilitering van de uitwerking van de consumentenrechten uit de GDPR, maar op zichzelf volstaat technologie lang niet. Er moeten ook processen ingevoerd worden om die rechten uit te kunnen voeren, en interne gedragsregels. Gegevens beschermen en consumentenrechten uitvoeren zal altijd een mix blijven van enerzijds automatisatie en anderzijds menselijke acties van verschillende personen binnen een bedrijf.”
Compliant in 5 stappen
Gelukkig heeft Teleuca ook een duidelijk beeld van hoe het dan wél moet. “Bij de eerste twee stappen moet je heel duidelijk weten welke data je opslaat en verwerkt, welke rechtsgeldige grond er is om al die gegevens te bewaren en te verwerken, op welke locatie je dat doet en de risico’s gaat inschatten. Vanuit technisch standpunt dien je eveneens toegang tot deze data te kunnen krijgen. Pas dan kan je beginnen met het beheer van die data, gebruik makend van een juiste mix van tools en processen. In een volgende stap neem je de nodige voorzorgsmaatregelen om je data te beschermen. Daarbij is het belangrijk dat je eerst de meest risicovolle onderdelen onder handen neemt en stelselmatig een roadmap van dringende en minder urgente maatregelen ontwikkelt. In de laatste stap bezorg je de DPO (Data Protection Officer; nvdr) en zijn Privacy Team de tools die nodig zijn om de hele keten te controleren.”
Technologie als facilitator
Tegemoet komen aan die eisen van consumenten moet volgens Teleuca bovendien relatief snel gebeuren. De GDPR geeft bedrijven een maand om de consument te vertellen of en hoe het aan zijn eis zal tegemoet komen, en drie maanden om daadwerkelijk te reageren op die eis. Die snelheid is vandaag voor veel bedrijven nog onhaalbaar, denkt hij. Onder de huidige gegevens privacywetten reageren sommige bedrijven vele maanden later dan dat ze binnenkort zullen moeten doen.
Het aanstellen van een DPO is een belangrijke eerste stap, aldus Teleuca. “Net als de ondersteuning van het management, het samenwerken met meerdere collega’s van verschillende afdelingen, het inzetten van nieuwe skills en processen om al het werk te managen, en misschien nog het allerbelangrijkste- een cultuurverandering.”
“Vandaar het belang van technologie, omdat die mensen in staat stelt hun nieuwe rol op te nemen en als facilitator voor de transitie in een tijdperk waarin onze digitale voetprint, onze persoonsgegevens, daadwerkelijk worden beschermd.”
Wil je meer weten over de voorbereiding en voortgang die nodig is om je bedrijf GDPR compliant te maken? Schrijf je gratis in voor het Webinar van SAS op 24 mei.