Datum: 27 september 2017
Auteur: Jan-Hein Mols, Datamanagement Consultant

Elke organisatie die persoonsgegevens verwerkt heeft er mee te maken; GDPR ofwel General Data Protection Regulation. Bewust gebruik ik hier het woord ‘heeft’ omdat de wet feitelijk al in werking is getreden, maar per 25 mei 2018 zal de wet ook daadwerkelijk gehandhaafd worden. Strikt genomen is er juridisch gezien momenteel dus sprake van een overgangstermijn. Eigenlijk elke organisatie moet aan deze wetgeving voldoen, dit kan een flinke kluif zijn, maar ik zie hierin ook een grote kans.

GDPR in het kort

Deze nieuwe wetgeving vervangt verschillende bestaande Europese wetten rondom databescherming, zoals deze nu gelden binnen de 27 EU-lidstaten. Het doel is om vereenvoudiging en uniformiteit te realiseren rondom de bescherming van persoonsdata. Elke organisatie verwerkt elektronische gegevens van tenminste de medewerkers, maar vaak ook van klanten, patiënten of niet-publieke registratiegegevens. De nieuwe wetgeving stelt een aantal belangrijke en striktere voorwaarden waar u als organisatie aan moet voldoen, de belangrijkste wijzigingen:

  1. Individu centraal met recht op data-portabiliteit en het recht om vergeten te worden;
  2. Privacy instellingen standaard op hoogste beveiligingsniveau uitgegeven;
  3. Data Protection Officer (DPO) is een verplichte aanstelling;
  4. Aansprakelijkheid groter in geval van beveiligingslekken;
  5. Boete structuur verhoging bij overtreding;

Maar waar ga je beginnen?

Tijdens gesprekken met diverse organisaties in de laatste maanden merk ik dat er om uiteenlopende redenen nog weinig activiteiten worden ondernomen in de richting van GDPR. Dit snap ik wel, het lijkt ook nog ver weg, maar mijn observatie is dat dit veelal ook te maken heeft met de onduidelijkheid over de exacte impact van deze wet op de organisatie. Daarom is het vaak lastig is om een goed vertrekpunt te bepalen voor het implementeren van deze wet.

Mijn advies: begin bij de basis!

Dat begint vooral bij het verkrijgen van inzicht in de data die binnen de organisatie aanwezig is. Voor de gegevens die u gebruikt in uw primaire bedrijfsprocessen, opgeslagen in gestructureerde databases en doorgaans goed gedocumenteerd, is dit inzicht er vaak wel. Maar is dit er ook voor de data in de e-mails van medewerkers, in bestanden die zijn opgeslagen op een fileshare of wellicht in SharePoint? Hiervoor geldt vaak dat niet goed inzichtelijk is welke type bestanden op welke plek worden bewaard en wie eigenaar is. Laat staan wat de inhoud van die bestanden is en -hiermee een cruciaal punt in relatie tot de GDPR- of deze bestanden persoonsgegevens bevatten.

De eerste stap is dus het verkrijgen van inzicht in de bestanden in uw organisatie, we noemen dit het taxeren van de data.

Taxeren van data

In eerdere blogs die mijn collega’s hebben geschreven leest u over de ‘databerg’ die in veel organisaties aanwezig is. Daarnaast over de mogelijkheid om met datataxatie op een snelle en laagdrempelige manier inzicht te krijgen in deze databerg. Datataxatie is de aanpak van Axians om op eenvoudige wijze inzicht te krijgen in de ongestructureerde data die in uw IT-omgeving aanwezig is.

Deze aanpak is tweeledig:

  • Een analyse maakt inzichtelijk welke data ROT (Redundant, Obsolete of Trivial) is. Onze ervaring is dat dit gemiddeld 30% van de totale dataset betreft. We maken gelijk ook inzichtelijk welke type bestanden aanwezig zijn, wat de omvang is, welke bestanden inactief zijn en wat de daadwerkelijk consumptie is per gebruiker;
  • U ontvangt vervolgens een advies over de bevindingen met aanbevelingen over hoe de dataset is te optimaliseren.

Met de uitkomsten kun je direct de waarde van deze data verzilveren door redundante of oude files te verwijderen, op goedkopere wijze op te slaan of gefundeerd een nieuw afrekenmodel voor de opslag van data te ontwikkelen. Maar het belangrijkste is dat je hiermee inzicht hebt in de totale dataset binnen de organisatie.

Zie hier, Inzicht!

Dit is een gezonde basis om de impact van de GDPR op uw organisatie te kunnen bepalen, naast het besparen van kosten en het verder kunnen ontdekken van de potentie van uw data. We weten het inmiddels maar al te goed, er is voldoende publiek bewijs; ‘data is het nieuwe goud!’.

Waarde toevoegen met GDPR

Echt interessant wordt het als we kunnen vaststellen of er ook daadwerkelijk persoonsgegevens in de ongestructureerde data aanwezig zijn en als we kunnen laten zien voor wie deze gegevens direct beschikbaar zijn. Een extended datascan kan u hierbij helpen. Deze extended datascan is een scan die gedurende een langere periode (gemiddeld 8 weken) de activiteiten op uw bestanden volgt. De uitkomsten van deze analyse kwantificeren direct eventuele GDPR-compliance risico’s. Wat maken we dan inzichtelijk?

  • Aanwezigheid van gevoelige data
  • Afgeleid data eigenaarschap en hiërarchie
  • Inactieve gebruikers
  • Lege autorisatie groepen
  • Wildgroei aan gevoelige data
  • Toegankelijkheid van folders door vergrendelde of verwijderde users
  • Open gedeelde mappen
  • Gebruik door de tijd
  • Afwijkende toegang

De waarde van data? Het inzichtelijk krijgen en kunnen beheersen van potentiele GDPR-compliance risico’s en het reduceren van de risico’s op imagoschade en boetes!

Met deze analyse kan in een aantal gevallen ook verborgen waarde worden blootgelegd die u helpen om efficiency voordelen te realiseren, door bijvoorbeeld:

  • Een lagere TCO voor data door optimalisatie;
  • Vergroten van vindbaarheid van informatie en het verkorten van het zoekproces;
  • Het automatisch, op basis van inhoud, classificeren en categoriseren van de data;
  • Gestructureerde databronnen verrijken met informatie uit ongestructureerde databronnen.

Nog meer efficiency voordeel kan worden gerealiseerd als de genoemde automatische classificatie en categorisering wordt benut voor de implementatie van archieffunctionaliteit, waarmee je grip hebt èn houdt op de ongestructureerde data en dus grip op GDPR-compliance risico’s.

Benieuwd naar de verborgen waarde in úw data?

Nieuwsgierig geworden naar de waarde die in úw data verborgen zit? Of wil je meer weten over de aanpak van een datataxatie of extended datascan als eerste stap naar GDPR compliancy? Neem gerust contact met mij op, ik vind het leuk om hier meer over te vertellen. Mail of bel (0251 261 300).