GDPR

GDPR en een centraal klantbeeld: een zegen of juist een extra uitdaging

/in , /door

25 mei 2018: Een datum die bij steeds meer bedrijven met hoofdletters in de agenda staat geschreven. Vanaf dat moment gaat de Europese General Data Protection Regulation, afgekort GDPR, ook daadwerkelijk gehandhaafd worden. Dat betekent dat er hoge boetes kunnen worden opgelegd aan bedrijven die niet compliant zijn, tot wel 4% van de jaarlijkse omzet of 20 miljoen euro. De Autoriteit Persoonsgegevens houdt toezicht op de handhaving van deze regels in Nederland.

Aan de andere kant wordt steeds meer waarde uit klant gerelateerde data gehaald. Degene die zijn klanten zo effectief mogelijk kan benaderen (op het juiste moment met de juiste aanbieding) heeft een voorsprong op de concurrentie. De prijs die je daar als persoon (en als samenleving) voor betaalt is dat er meer over jou als klant bekend wordt en dat er ook meer wordt vastgelegd.

Voorbeelden hiervan zijn het creëren van een centraal (360 graden klantbeeld), het opzetten van een masterdata omgevingen voor klantinformatie of het implementeren van een customer data platform. De vraag is of het opzetten van zo’n gecentraliseerde omgeving nu juist een voordeel of een nadeel is in het kader van de GDPR? Om deze vraag te beantwoorden moeten we eerst ingaan op wat de gevolgen zijn van GDPR

De GDPR (in Nederland wordt dit de Algemene verordening Gegevensverwerking of AVG) is bedoeld om bedrijven te dwingen privacybewust te zijn. Dit wordt ‘privacy by design’ genoemd. Het zorgt ervoor dat de balans niet doorslaat naar ongelimiteerd verzamelen en toepassen van klant gerelateerde data. Het idee is dat er een afweging wordt gemaakt of en welke data wordt vastgelegd en waarom, dit wordt ‘data minimization’ genoemd. Het ‘waarom’ is de doelbinding en is leidend in het gebruik van de data (het doelbindingsprincipe). Dit bewustzijn is niet alleen van toepassing op klant gerelateerde gegevens. Andere vormen van persoonlijke informatie zoals medewerker gegevens vallen ook onder de GDPR. Dit artikel gaat specifiek in op klant gerelateerde gegevens.

Hoe weet je nu dat je binnen de regels van deze wet opereert? Dat weet je dus niet zeker. De regulering schrijft regels voor maar geeft vooraf geen inzicht of de daadwerkelijk genomen maatregelen afdoende zijn om niet gestraft te worden. Het is net als bij de belastingen: je kunt de regels implementeren zoals jij denkt dat het hoort, maar de controle vindt pas achteraf plaats. Het belangrijkste is dat je transparant en expliciet maakt dat je hebt nagedacht over privacy binnen je organisatie en dat je bewust bepaalde besluiten hebt genomen om aan de GDPR-regels te voldoen. Je kunt dan bij een controle in ieder geval onderbouwd in overleg gaan.

Welke stappen kun je ondernemen om compliant te zijn? Dat is natuurlijk de hamvraag. Het ‘privacy by design’ principe is in de basis een cultuuruitdaging.  Er zijn ook enkele harde eisen en regels waaraan je moet voldoen en waar maatregelen voor genomen moeten worden:

  • Data Security
  • Breach Notification
  • Right to Access en Data Portability
  • Data Erasure / Right to be Forgotten

Data Security:

De meest voor de hand liggende eis is dat je als bedrijf je klantgegevens goed beschermt. Maatregelen op dit gebied komen in 2 vormen, namelijk maatregelen tegen ongeoorloofd gebruik en maatregelen tegen onbevoegde toegang (‘data breaching’).

De eerste zijn maatregelen in het kader van ‘data minimization’. Een belangrijke maatregel die in dit kader genoemd wordt, is ‘limit access to authorized users’, oftewel het voeren van een streng en consequent beleid ten aanzien van de toegang tot persoonsgegevens. Dit is aan de ene kant een organisationele of governance maatregel, namelijk krijgt iemand wel of geen toegang tot bepaalde gegevens.

Het kan echter ook nodig zijn extra beschermingsmaatregelen te nemen waarbij toegang tot specifiekere persoonsgegevens wordt gereguleerd. In de GDPR wordt namelijk nog onderscheid gemaakt tussen persoonsgegevens en gevoelige persoonsgegevens zoals financiële, afkomst of gezondheidsgegevens. Om op dit niveau de toegang tot specifieke gegevens te kunnen reguleren, moet de data wel als zodanig herkenbaar zijn. Dat kan via het classificeren van persoonsgegevens.

De tweede vorm maatregelen zijn maatregelen tegen allerlei vormen van hacking. Het beschermen van de toegang tot de data zelf kan op verschillende manieren:

Infrastructurele maatregelen: Denk aan het gebruik van VPN, strikte firewall regels en een gedegen patchbeleid.

Data beschermingsmaatregelen: Hiervoor worden wat handvaten voor maatregelen gegeven in de GDPR. Bijvoorbeeld door het extra beschermen van de persoonlijke data door encryptie en depersonalisatie technieken toe te passen. Dit laatste is overigens niet altijd mogelijk. Belangrijk in dit kader is dat data geclassificeerd is als persoonlijk en dat bekend is welke gegevens onder de GDPR vallen.

Authenticatiemaatregelen: Is de persoon die toegang wil tot de data ook daadwerkelijk de persoon die hij of zij zegt te zijn. De belangrijkste methode om tegenwoordig ongeoorloofd toegang te krijgen tot gegevens is ‘social hacking’, ofwel toegang krijgen door de zwakste schakel in het proces te gebruiken: de mens. Toegang tot systemen kan worden verkregen via simpele methodes als briefjes op computers of wachtwoorden die uitgewisseld worden via de mail. Maatregelen als 2-factor-authenticatie en het gebruik van certificaten kunnen hiervoor een oplossing bieden.

Autorisatie maatregelen: Dit gaat over de toegang die een gebruiker heeft tot bepaalde delen van de informatie of tot bepaalde functies op de data. Maatregelen op dit vlak gaan vaak samen met de data beschermingsmaatregelen en data classificatie is ook voor deze maatregelen een voorwaarde.

Breach Notification

Dit betekent dat je als organisatie processen moet hebben ingericht om tijdig en adequaat te handelen op het moment dat er een inbreuk is geweest op je data welke kan resulteren in een risico op de rechten en vrijheid van individuen. Je moet als organisatie in het kader van deze eis in staat zijn de getroffen personen op de hoogte kunnen stellen dat er inbreuk is gemaakt op hun persoonsgegevens.

Hiervoor zijn meetbare eisen gesteld. Vanaf het moment dat een inbreuk is vastgesteld moet je binnen 72 uur de personen van wie de gegevens op straat terecht zijn gekomen op de hoogte stellen (of je moet hele goede redenen hebben waarom dit niet in 72 uur mogelijk was).

Dat betekent dat je ten eerste geregeld moet hebben via goede monitoring en logging systemen dat je weet dat er ongeoorloofde toegang tot de data is geweest. Ten tweede moet je weten wiens rechten geschonden zijn en hoe zwaar de inbreuk is geweest. De classificatie van de persoonsgegevens speelt wederom een belangrijke rol, maar nu voor het bepalen van de zwaarte van de inbreuk.

Right to Access en Data portability

Een persoon heeft het recht om bij een bedrijf zijn of haar gegevens op te vragen in een technisch uitwisselbaar formaat. Net zoals een persoon zijn telefoonnummer kan meenemen, moet het ook mogelijk zijn om data ‘mee te nemen’ naar een andere leverancier. Als bedrijf moet je daar binnen een redelijke termijn op kunnen acteren. De regel is binnen een maand, maar kan verlengd worden naar 2 maanden als daar gegronde redenen voor zijn.

De grote uitdaging is te achterhalen welke gegevens allemaal van een persoon bekend zijn. Persoonsinformatie staat meestal verspreid over veel verschillende systemen die vaak ook niet gekoppeld zijn. Een eenduidig klantbeeld is een uitdaging waar veel bedrijven sowieso al mee worstelen. Een randvoorwaarde voor een invulling van deze eis is dus dat je alle gegevens die bekend zijn van een klant kunt identificeren.

De tweede stap is dat deze gegevens verzameld moeten kunnen worden en elektronisch ter beschikking worden gesteld.

Data erasure / Right to be Forgotten

Het recht van een persoon om verwijderd te worden uit de systemen van een organisatie en het recht om de persoonsgegevens buiten gegevens bewerkingen te houden. Hier zit een vorm van schizofrenie in. Naast de uitdaging zoals hiervoor beschreven om uit te vinden welke informatie allemaal van een persoon aanwezig is bij een bedrijf zijn er namelijk extra uitdagingen. Van sommige tot persoon herleidbare informatie is een bedrijf verplicht deze te bewaren. Dat kan bijvoorbeeld zijn om aan bepaalde eisen rondom dienstverlening achteraf te voldoen zoals terugroep acties van autobedrijven. Dat betekent dat het recht om vergeten te worden alleen geldt voor bepaalde, veelal marketing gerelateerde doelen.

Hoe gaat de controlerende autoriteit hier mee om? Dat zijn nog onduidelijkheden die vaak leiden tot te rigoureuze acties aan de kant van organisaties om maar aan de veilige kant van de lijn te blijven. Het vastleggen van de keuzes rondom de genomen maatregelen kan hierbij helpen.

Belangrijk is in ieder geval om een goed registratiesysteem op te zetten voor verwijderingen en de’ vergeetacties’ onweerlegbaar te loggen voor auditdoeleinden.

Centraal of niet?

Bij Free Frogs en PRDCT hebben we veel ervaring met het creëren van zo’n centraal data platform. De vraag was: Is centralisatie van klantinformatie een voordeel of juist een nadeel in het kader van de GDPR?

Aan de ene kant is het voor hackers lastiger om toegang te krijgen tot alle klant gerelateerde data als deze verspreid staan over verschillende systemen. Aan de andere kant, de schade is al geleden als zelfs maar op één systeem inbreuk wordt maakt. Daar wordt in de GDPR geen onderscheid in gemaakt.

Een ander nadeel kan zijn dat verschillende classificaties van persoonlijke gegevens op één plek aanwezig zijn. Dat betekent dat de data security maatregelen passend moeten zijn voor de persoonsgegevens van het hoogste classificatieniveau. De breach notification processen zullen echter in beide situaties gelijk zijn.

Maatregelen in het kader van data portabiliteit, right to access en right to be forgotten zijn juist weer veel eenvoudiger te nemen als er wel een centraal platform bestaat. Ten eerste zou namelijk duidelijk moeten zijn in welke systemen klant informatie staat. Er zijn processen opgezet om klantgegevens naar zo’n centraal platform te porteren en bestaat er dus een overzicht van waar de bron van deze gegevens zich bevindt en hoe de klantidentificatie plaatsvindt. Deze informatie kan gebruikt worden om klantgegevens weg te halen uit zowel de bronsystemen als wel het centrale platform zelf.

Ten tweede is het veel eenvoudiger een elektronisch overzicht te maken en over te dragen als alle persoonsgegevens centraal beschikbaar zijn.

Ten derde kan het centrale systeem gebruikt worden om klantgegevens alleen voor bepaalde doeleindes te laten gebruiken. Het platform dient dan als eenduidige plaats van waaruit allerlei (marketing) activiteiten plaatsvinden en waar ook eenduidig gebruiksregels geïmplementeerd kunnen worden.

Conclusie

Het implementeren van maatregelen in het kader van de GDPR is een onzeker pad omdat onduidelijk is of de genomen maatregelen afdoende zijn. Transparantie en het vastleggen van de genomen maatregelen en de redenatie is cruciaal om aan te geven van goede wil te zijn en dat je als bedrijf het privacy by design principe hoog in het vaandel hebt staan. Tegelijkertijd wil je gebruik maken van de mogelijkheden die klantgegevens bieden in het verbeteren van je concurrentiepositie. Deze delicate balans is de uitdaging. Het centraal bijeenbrengen van klantdata kan helpen om een aantal eisen van de GDPR makkelijker in te vullen.

Misschien ook iets voor u
Being agile when the circumstances ask for it De wendbaarheid van agile aanhangers
Illustratie bij de connected architectuur Connected architectuur: einde aan de informatiechaos
Good Practice: Communiceren met animatiefilmpjes
Agile onder architectuur Agile onder Architectuur
self-service analytics Self-service analytics is niet alleen een technisch vraagstuk
Structured or unstructured data. What is the story?
Waarom ik mezelf nog altijd BI-architect noem
Image by ar130405 from Pixabay 5 Tips for Agile Data Governance