Met de Europese GDPR-regelgeving in het vooruitzicht wordt het onontbeerlijk om de persoonlijke data van jouw werknemers en klanten waterdicht te beschermen. Hoogstwaarschijnlijk ben je er al aan begonnen. Maar pakt jouw bedrijf dit wel op de meest optimale manier aan?
Bedrijven die vanaf 25 mei van dit jaar de nieuwe en strikte regels negeren rond databescherming zoals bepaald in de Europese richtlijn van de General Data Protection Regulation – kortweg GDPR – riskeren monsterboetes die kunnen oplopen tot 4% van de globale jaaromzet tot een maximum van 20 miljoen euro. Toch zou dat niet de voornaamste stok achter de deur mogen zijn om de kritieke persoonsgegevens binnen jouw bedrijf te beschermen, zegt Anthony Severeyns, expert en principal consultant bij SAS, internationaal een van de belangrijkste softwarebedrijven inzake datamanagement. “Mede door wetten als deze zijn de consumenten van vandaag zich steeds meer bewust van hun privacy."
Een bedrijf dat in het nieuws komt met datalekken, loopt reputatieschade op die vaak veel aanzienlijker is dan de boetes door inbreuken op de GDPR-richtlijn
Veel bedrijven zijn vandaag al druk begonnen met de aanpassing van hun databescherming om compliant te zijn met de nieuwe regelgeving. Vaak gebeurt dat echter onvoldoende consistent, waardoor de compliancy - het in orde zijn met de regels – steeds opnieuw moet worden herbekeken. Daarom stelt Anthony Severeyns een vijfstappenplan voor om op duurzame wijze jouw data te beschermen.
Stap 1: Access
“De eerste stap is uiteraard toegang krijgen tot alle persoonsgegevens”, legt Anthony Severeyns uit. “Op het eerste zicht een eenvoudige klus, maar dat is het niet noodzakelijk. Bedrijven gebruiken vaak de meest uiteenlopende databronnen, gaande van databases over Excel-files tot pdf’s die op de laptop van een werkgever staan. Al die gegevensbronnen handmatig selecteren, is een tijdrovende én onzekere bezigheid. Daarom is het efficiënter een technologische connectie te leggen.”
Stap 2: Identify
Eens die connectie is gemaakt, komt het erop aan de gegevens te identificeren. Gaat het om telefoonnummers, bankrekeningen, e-mailadressen? Ook hier verwerken bedrijven deze gegevens vaak nog manueel, maar dat is volgens Anthony Severeyns geen goed idee. “Databases beschikken niet zelden over duizenden velden. Uiteraard kan men gewoon aan de verantwoordelijke vragen welke gegevens in de database zitten, en dat doen veel bedrijven dan ook. Maar dat volstaat niet. Het is veel betrouwbaarder om de gegevens in je bestanden automatisch te laten identificeren door gespecialiseerde software. Een voorbeeld: onlangs bezorgde een klant ons een bestand dat zogezegd met duizenden btw-nummers was gevuld. Onze software gaf echter aan dat het om een mix van btw-nummers en IBAN-rekeningnummers ging. Dat ontkende de verantwoordelijke. Nader onderzoek wees toen uit dat heel wat eindgebruikers zowel hun btw-nummer als IBAN-rekeningnummer in het btw-veld opsloegen, zonder dat het bedrijf hiervan op de hoogte was.”
Stap 3: Govern
“Eens je nauwkeurig hebt geïdentificeerd over welke persoonsgegevens je bedrijf allemaal beschikt, komt het er natuurlijk op aan om die zorgvuldig te beheren”, gaat Anthony Severeyns verder. “De eerste stap binnen dit beheer is definiëren wat we verstaan onder welke datatypes. Vaak verschillen die definities immers sterk tussen de verschillende bedrijfsdepartementen. Die definities moeten conform gemaakt worden en gecentraliseerd. Daarna moeten er duidelijke regels opgesteld worden: wie heeft toegang tot welke datatypes, hoe en door wie wordt elk datatype beheerd … Pas als die stappen zijn volbracht, kunnen we overgaan naar de volgende stap.”
Stap 4: Protect
“Pas in de vierde fase gaan we de data fysiek beveiligen. De regelgeving spreekt in deze context vaak over masking of het anonimiseren van data. Concreet betekent dit dat we een virtuele laag over jouw data heen gaan leggen. Dankzij die laag zal de ene persoon na het aanmelden de echte gegevens zien, terwijl een andere persoon die op diezelfde plek aanmeldt, geanonimiseerde gegevens zal zien. Dit is bijvoorbeeld belangrijk binnen een HR-departement, waar niet iedereen zomaar de salarissen van anderen mag raadplegen. Bovendien gaan we elke toegang opvolgen en bijhouden, zodat we achteraf perfect kunnen opzoeken wie wanneer welke gegevens heeft bekeken. Dat soort overkoepelende rapporteringen moet immers voorgelegd kunnen worden wanneer er een audit plaatsvindt in het kader van de GDPR.”
Stap 5: Audit
De laatste stap is misschien wel de belangrijkste van allemaal. “Als je het bezoek krijgt van auditeurs van de GDPR, moet je duidelijke rapporten kunnen voorleggen. Anders zijn al je maatregelen een maat voor niets. Die auditrapporten automatiseer je best, anders zit je voortdurend al je rapporten te copy-pasten.”
Veel meer dan louter compliancy
Veel regels en verplichtingen dus. Maar dat is volgens Anthony Severeyns niet zo’n slechte zaak. “Bedrijven hoeven de GDPR echt niet uitsluitend als een verhaal van compliance te beschouwen. Bekijk het eerder als een nieuwe opportuniteit. Al die data die onbenut verspreid was doorheen jouw bedrijf, kunnen nu hun volle potentieel tonen. Je kan er een betere klantenervaring mee creëren, of kosten mee besparen door bijvoorbeeld niet langer brieven te versturen naar adressen die niet bestaan. Als bedrijven hun data compliancy op duurzame wijze automatiseren, kunnen ze er alleen maar voordelen uit halen.”