HM_Banner_Superbanner_728x90_2



Hoe gegevensbescherming een zakendroom in een nachtmerrie kan veranderen

  1. 27 jan 2016
  2. 0 reacties

1396955_49065589

door Cindy Truyens |

De algemene verordening gegevensbescherming (General Data Protection Regulation, GDPR) van de Europese Unie komt eraan, en de details van de wetgeving krijgen hun definitieve vorm. Bent u zich bewust van de impact die dit zal hebben op uw huidige beleid, processen en systemen voor gegevensbeheer? Voor veel bedrijven is het realistische antwoord op deze vraag 'ik weet het niet', en voor de meeste zal het 'nee' zijn. In welke sector u ook actief bent, als u werkt met gegevens van andere mensen bent u verantwoordelijk voor de veiligheid ervan en wettelijk verplicht om te voldoen aan de gegevensbeschermingsregels.

Dit geldt voor gegevens die worden verzonden tussen afdelingen, door verschillende systemen bewegen, worden overgedragen tussen personen, geconverteerd voor nieuwe platformen of programma's of verstrekt aan derden - de lijst is eindeloos. Zeggen dat je het niet wist helpt niet, zeker als de gegevens de beslotenheid van het kantoor hebben verlaten. Bedrijven die de voorbereiding van hun beleid en systemen op de deadline in 2017 onderschatten, riskeren ernstige financiële en reputatieschade. Momenteel mag de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 820.000 euro, maar onder de GPDR kunnen boetes oplopen tot 4% van de wereldwijde jaaromzet van een concern. Bedrijven waar een gegevenslek optreedt kunnen ook vergoedingen verschuldigd zijn aan getroffen personen, en verliezen mogelijk veel omzet doordat boetes openbaar worden gemaakt.

Het informatie-ideaal

Voor de meeste organisaties is één enkel gegevensmodel dat de basis vormt voor waard creatie en het bedienen en vasthouden van klanten de ultieme droom. De mogelijkheid om gegevens te analyseren en inzichten om te zetten in actie heeft bedrijven ongekende voordelen gebracht. Tegelijkertijd zijn de regels die bepalen hoe de gegevens kunnen worden gebruikt aangescherpt voor een betere consumentenbescherming, wat bedrijven voor grote beheerproblemen stelt. Als bedrijven veranderingen willen implementeren in hun vaak bijzonder complexe IT-omgeving, kan hun droom omslaan in een ware nachtmerrie.

De omvang van de uitdaging

De nieuwe hervormingen zijn de eerste belangrijke aanpassing van de Europese gegevensbeschermingsregels in bijna 20 jaar. In die tijd is er veel veranderd in de manier waarop bedrijven gegevens gebruiken en de technologieën waarmee ze gegevens opslaan, raadplegen en overdragen. Dat houdt in dat de actuele hervormingen belangrijke veranderingen met zich meebrengen in de manier waarop persoonlijke gegevens kunnen worden gebruikt en bewaard. Dit zal een aanzienlijke impact hebben op het beleid en de processen van organisaties, waardoor een overgang naar 'ingebouwde privacy' noodzakelijk wordt.

Vaak worden persoonlijke gegevens die door organisaties zijn verzameld gebruikt en overgedragen op manieren waar de klant en de gegevenseigenaar zich niet van bewust zijn. Om het verkeer van gevoelige gegevens meer aan banden te leggen, vormt 'anonimisering' een belangrijk onderdeel van de nieuwe regelgeving.

De consequenties van niet-naleving

Bij hun implementatieoverwegingen voor de nieuwe regels is het essentieel dat bedrijven nu veranderingen doorvoeren in hun gegevensbeheer en -beleid en 'ingebouwde privacy' implementeren om de deadline in 2017 te kunnen halen. Om niet-naleving in perspectief te plaatsen, een recent onderzoek liet zien dat de kosten voor een organisatie die verantwoordelijk is voor een gegevenslek sinds 2007 elk jaar zijn toegenomen. Momenteel kost elke gecompromitteerde set gegevens gemiddeld 170 euro. Als we het grote geheel bekijken, komt dit neer op aanzienlijke gemiddelde kosten van 3,25 miljoen euro per jaar (2015 Cost of Data Breach Study: Verenigd Koninkrijk, Ponemon Institute, mei 2015).

Het gebeurt ook dat mensen die slachtoffer zijn geworden van gegevensmisbruik een vergoeding eisen van bedrijven. In een lopende zaak is sprake van een vergoeding van minimaal 325 euro per persoon. In de Verenigde Staten schetsen de cijfers over lekken van zorggegevens alleen al een zeer somber beeld: bij de vijf grootste schendingen in 2015 zijn tot nu toe 99,3 miljoen personen getroffen.

Om zulke consequenties te vermijden, moet nu actie worden ondernomen. Zo wordt verzekerd dat bedrijven correct omgaan met hun gegevens en de onwelkome toorn van de AP afwenden. Deze organisatie handhaaft momenteel de regels en zorgt dat bedrijven greep houden op hun gegevens.

Om de aanpassing van hun gegevensbeheersystemen in goede banen te leiden, moeten bedrijven vóór de invoering van de nieuwe regels actie ondernemen op drie kerngebieden:

1. Werk vanaf het begin met een robuust gegevensbeleid

Voor bedrijven. Actieve toepassing van kosteneffectieve data governance en procedures vanaf het begin van een project bespaart tijd en kosten voor de aanpak van onnauwkeurige of kwalitatief slechte gegevens op de langere termijn.

2. Digitaliseer en anonimiseer voor gestroomlijnd gegevensbeheer

Bij de digitalisering van systemen is het steeds moeilijker geworden om één presentatie van de klant en één uniform gegevensmodel te realiseren. Dit behoort tot de grootste problemen waar organisaties tegenwoordig tegenaan lopen. De nieuwe gegevensbeschermingsregels zullen de complexiteit rondom de toegang en het gebruik van gegevens nog verder vergroten.

Uiteindelijk zal het gebrek aan een uniforme presentatie van gegevens en hoe deze zijn geconfigureerd ertoe leiden dat organisaties maar beperkt zicht hebben op waar hun gegevens worden geopend, gekopieerd, opgeslagen of overgedragen. Hier moet nu verandering in komen, en experts uit de sector staan klaar om organisaties te helpen bij het moeizame maar essentiële proces van gegevenslegalisatie. Een belangrijke focus van de regelgeving is het gebruik van gegevens in testomgevingen om te verzekeren dat alle inhoud is geanonimiseerd. Een enorme taak gezien de niveaus van systeemintegratie en procesbeheer die nodig zijn om de nauwkeurigheid en stabiliteit van systemen te verzekeren. De keuze van de juiste gereedschappen voor het beheren, anonimiseren en synthetiseren van gegevens is van essentieel belang.

3. Investeer tijdig om boetes te voorkomen en reële bedrijfsvoordelen te creëren

Zonder de juiste IT-systemen, beleidsregels, procedures en governance voor het verzekeren van de kwaliteit en overeenstemming van gegevens lopen bedrijven niet alleen risico op torenhoge boetes, maar kunnen ze ook belangrijke bedrijfsvoordelen mislopen.

Het aantal mensen dat achter de schermen gegevens extraheert, herformatteert en standaardiseert is verbijsterend en vormt door slechte methodieken vaak een verborgen kostenpost. Een recent onderzoek liet zien dat een grote detaillist ruim 750.000 euro per maand kon besparen door simpelweg zijn gegevensmodel te standaardiseren voor zijn geïntegreerde leveranciers-, distributie-, rapportage- en productbeheersystemen. Met een directe investering van ruim 800.000 euro zou een besparing tot 9,5 miljoen euro per jaar mogelijk zijn.

Het van meet af aan opbouwen van een krachtig raamwerk voor gegevens is het ideaal. De realiteit is echter dat de meeste organisaties worden gehinderd door complexe, verouderde IT-systemen. Ze zullen hun beleid, processen en systemen moeten veranderen om overeenstemming te bereiken. Nu investeren vormt daartoe de sleutel. Het inschakelen van experts die verzekeren dat gegevens correct worden georganiseerd, opgeslagen en gebruikt stelt bedrijven voldoende in staat om aan de regels te voldoen. Dit voorkomt onnodige boetes en zal uiteindelijk de prestaties van gegevens vergroten, tot voordeel van het bedrijf.

Cindy Truyens is Managing Director SQS