Verantwoord & strategisch omgaan met data in het kader van de aanstaande AVG

Steeds meer bedrijven beseffen dat data een strategische asset kan zijn. Door slim gebruik te maken van data kunnen werkprocessen binnen de organisatie efficiënter plaatsvinden en zullen klanten effectiever geholpen kunnen worden. Dit boost de productiviteit van de organisatie. Klinkt als muziek in de oren, maar staat dit niet op gespannen voet met de privacy van de personen op wie de data betrekking heeft? Zeker met de nieuwe en een stuk strengere Europese privacywet (de Algemene Verordening Gegevensbescherming, AVG) in aantocht. De AVG vervangt vanaf 25 mei dit jaar de huidige Wet bescherming persoonsgegevens (Wbp) en geldt voor alle bedrijven die data van personen verzamelen.

Het antwoord ligt in het voeren van een goed beleid omtrent de verwerking van data, ook wel data governance genoemd. Organisaties laten dit aspect van de bedrijfsvoering nog vaak liggen; een gemiste kans! Data governance maakt het namelijk mogelijk je datadoelstellingen te verwezenlijken èn waarborgt de privacy.

Is data governance al een goed voornemen van jouw organisatie? Lucas van Landscape Data Science en Eveline van Solon Advocaten leggen in drie stappen uit hoe je dit goede voornemen kunt uitvoeren!

Over de auteurs

Eveline de Jonge
Lucas van der Meer

Eveline de Jonge is advocaat bij Solon Advocaten in Den Haag.

Lucas van der Meer was hoofd advies en mede-oprichter van Landscape Data Science in Leiden.

1. Strategie

Lucas: Investeren in data helpt vele bedrijven vooruit. Data draagt bijvoorbeeld bij aan het verhogen van de efficiëntie van werkprocessen of om de klant beter van dienst te kunnen zijn. De eerste stap van data governance is het vastleggen van je doelen in een heldere datastrategie. Investeren in data is nooit een doel op zich, maar een onderdeel van het grotere geheel van bedrijfsdoelstellingen.

Wanneer je weet welk doel je wilt bereiken met behulp van data, moet je dit vertalen naar een plan van aanpak met behapbare stappen. Start bijvoorbeeld met een experiment waarin een eerste bewijs wordt geleverd dat je gewenste doel inderdaad haalbaar is: een proof of concept. Dit onder het motto ‘try to fail fast and small, instead of slow and big’. Na het eerste proof of concept kun je je plannen uitbreiden en grootser aan de slag.

Eveline: Het verwerken van data voor een helder omschreven doel is ook vanuit een privacy-perspectief noodzakelijk. Data van personen mag namelijk alleen voor duidelijk bepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Je bent bovendien wettelijk verplicht om degenen van wie jij data verzamelt te informeren over de doeleinden daarvan. Dit kun je bijvoorbeeld doen door een privacy statement op je website te publiceren en daarnaar te verwijzen wanneer je gegevens wilt verwerken. En niet te vergeten: om de gegevens te verwerken zul je soms toestemming nodig hebben van de betrokkenen, die op de juiste manier moet zijn verkregen. De regels over toestemming zijn strenger geworden onder de AVG.

2. Overzicht van de data die je hebt

Lucas: De volgende stap naar succesvol en verantwoordelijk gebruik van data in je organisatie is het in kaart brengen van je belangrijke bestaande databronnen —zoals klantgegevens en personeelsgegevens— en hoe deze data door je bedrijf stroomt. Wij noemen deze belangrijke databronnen data assets. Aan de hand van dit overzicht kan worden bepaald welke data assets jou het beste kunnen helpen bij het realiseren van je doelen, en waar eventueel nieuwe data verzameld moet worden.

Eveline: De nieuwe privacywet brengt meer verantwoordelijkheden voor bedrijven met zich mee dan zij onder de huidige Wbp al hebben. Zo introduceert de AVG een zwaardere documentatieplicht. In een zogenaamd verwerkingsregister zullen veel bedrijven moeten bijhouden met welke informatiesystemen de bedrijfsonderdelen werken en welke persoonsgegevens worden verwerkt voor welke doeleinden. Daarnaast mogen een omschrijving van de technische en organisatorische beveiligingsmaatregelen ter bescherming van de data en passende bewaartermijnen niet ontbreken. Kortom: het in kaart brengen van data assets en datastromen is onmisbaar om compliant te zijn.

Lucas: Met de enorm lage opslagprijzen en begrippen als ‘big data’ vergeet men al gauw om na te denken over het opruimen van je datahuishouding: de levenscyclus van data. Gooi data die je niet meer nodig hebt weg of archiveer deze. Op die manier verhoog je de datakwaliteit, de bruikbaarheid van je data. Maak concreet welk niveau van datakwaliteit je nodig hebt (en hoe je dit kan meten) om van je datastrategie een succes te maken.

Eveline: Persoonsgegevens mogen vanuit privacy-perspectief trouwens ook niet langer bewaard worden dan noodzakelijk is voor het doel. Bedrijven moeten daarom een bewaarbeleid hanteren. Zogenaamde dataminimalisatie is namelijk één van de uitgangspunten van de privacyregelgeving en verkleint bovendien het risico op datalekken.

3. Vergeet je medewerkers niet

Lucas: Nieuwe technische aspecten hebben ook organisatorische implicaties. Voor goede governance is het vaak waardevol om zogenoemde ARCI-diagrammen op te stellen. Bij welk individu ligt de eindverantwoordelijkheid (Accountability) per dataset? Wie zijn er verantwoordelijk (Responsible) voor dagelijkse verwerking? Wie worden dagelijks geraadpleegd (Consulted)? En wie worden geïnformeerd (Informed) over wijzigingen? Een eenduidige verdeling van taken zorgt voor helderheid en voorkomt dat niemand zich voor de data assets verantwoordelijk voelt.

Eveline: Het duidelijk toewijzen en definiëren van alle verantwoordelijkheden—zowel op sturend als op uitvoerend niveau—vindt de Nederlandse privacytoezichthouder (Autoriteit Persoonsgegevens, AP) een vanzelfsprekende en in veel situaties zelfs noodzakelijke beveiligingsmaatregel. Wanneer iedereen binnen de organisatie zijn of haar verantwoordelijkheden kent, is de volgende uitdaging dat je het privacybeleid integreert in de dagelijkse praktijk. Je personeel zal om deze reden periodiek getraind en bijgeschoold moeten worden op het gebied van privacy en data security.

Gevolg: Win-win

Wanneer je je datastrategie duidelijk voor ogen hebt, je databronnen in kaart zijn gebracht, je verwerkingsregister op orde is en je awareness onder je medewerkers hebt, heb je de basis voor goede data governance gelegd.

Lucas: Zonder data governance zijn investeringen in data helaas veelal weggegooid geld. Je kunt data governance dan ook zien als een randvoorwaarde om efficiënt en effectief met je data om te gaan.

Eveline: Bovendien stelt het je in staat om compliant te zijn aan privacywetgeving. Zo bied je (de gegevens van) jouw klanten en werknemers de bescherming waar ze recht op hebben. Better safe than sorry: op dit moment riskeer je een boete van maximaal 900.000 euro. Met de komst van de AVG kan een boete zelfs oplopen tot maximaal 20 miljoen euro of 4% van je wereldwijde jaaromzet.

Wil je zorgen dat jouw bedrijf klaar is voor de Algemene Verordening Gegevensbescherming?

Landscape Data Science & Solon Advocaten maken het makkelijk om aan de AVG te voldoen door te kijken naar de juridische, technische en organisatorische kanten van je verzamelde gegevens.

Plan een vrijblijvende afspraak