Column


Column Bastiaan Bakker

GDPR: tijd voor een voorjaars-schoonmaak

Burgers, consumenten en medewerkers moeten kunnen vertrouwen dat overheid en private partijen hun privacy waarborgen. Een webwinkel moet dus als goed huisvader omgaan met de privacygevoelige gegevens van zijn klanten. Wat daar voor nodig is? Een grote voorjaarsschoonmaak!

Bij aantoonbaar nalatigheid rondom bescherming van persoonsgegevens kan de Autoriteit Persoonsgegevens vanaf 25 mei 2018 gigantische boetes opleggen. Op die dag vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) onze huidige Wet bescherming persoonsgegevens (Wbp). De boetes kunnen dan oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Drastische maatregelen
Dat is dan ook het eerste waarmee de AVG vaak geassocieerd wordt; extra kosten als gevolg van torenhoge boetes, reputatieschade en het inregelen van compliancy. Dat is jammer, want dankzij de AVG hebben Europese burgers het recht om persoonsgegevens in te zien of te laten rectificeren. Ook zorgt de AVG voor een aanscherping van het recht van EU-burgers om vergeten te worden. Zonder drastische maatregelen is het in de praktijk echter onmogelijk om er zeker van te zijn dat bepaalde data ook daadwerkelijk zijn gewist. Er zijn te veel verschillende systemen, en er zijn nog veel meer historische data die nooit zijn opgeruimd. De persoonlijke data zitten verstopt in terabytes grote ‘data lakes’.

Neem een willekeurige webwinkel. Een klant vergelijkt verschillende webwinkels en plaatst een bestelling voor een nieuwe stofzuiger (grote schoonmaak) bij die winkel die hem het meest aanspreekt. Het surfgedrag, de bestelling en de betaling die automatisch volgt met creditcard wordt opgeslagen. Als de klant het callcenter belt, wordt waarschijnlijk ook nog het gesprek voor trainingsdoeleinden opgenomen. Vervolgens wordt bij uitvoering van de bestelling de gegevens gedeeld met de logistieke partner en na aflevering krijgt de klant een tevredenheidsenquête. Helaas komt al deze data niet in één centraal systeem, maar verspreidt het zich over een compleet landschap van systemen waarbij de data telkens worden gekopieerd, zodat elk systeem zelfstandig werkt.

Zonder grote voorjaarsschoonmaak is het ‘recht op vergetelheid’ niet te realiseren. En net als bij een voorjaarsschoonmaak moet hier grondig en systematisch te werken worden gegaan. Juist door eens goed de bezem door het IT-landschap te halen en daarmee oude data die niet meer nodig zijn voor een verwerking te vernietigen. De AVG dwingt een dergelijke ‘dataminimalisatie’ ook af.

Opgeruimd in de cloud
Oude systemen en data migreren naar centrale nieuwe systemen, waarbij alle data nog eens tegen het licht worden gehouden, helpt eveneens bij compliance aan de AVG. Sterker nog: misschien is dit zelfs de aansprekende businesscase om de migratie naar de cloud te versnellen. Afgelopen jaar heb ik bij een van onze klanten geholpen met het opruimen en consolideren van 2500 servers. Geloof me, dat geeft een heerlijk opgeruimd voorjaarsgevoel.


Lees meer over