Physical Meets Digital Week 4 Mastering Data Privacy and Information Governance in a Post-GDPR World

WAT ZIEN WE NU HET STOF IS OPGETROKKEN?

In eerste instantie zijn veel Europese en Nederlandse bedrijven en organisaties met gezonde tegenzin aan de slag gegaan met de AVG. Ze hebben zichzelf in bescherming genomen tegen een wet die de burger en zijn persoonlijkheidssfeer moet beschermen tegen slordigheid en kwade zin.

Maar het besef groeit dat we in het informatietijdperk leven. Goede omgang met onze en andermans gegevens is geen formaliteit, maar is ook noodzakelijk voor een gezonde bedrijfsvoering en biedt commerciële kansen.

Sinds mei 2018 is de Europese regelgeving voor de bescherming van persoonsgegevens (GDPR) ook in Nederland van kracht als de Algemene Verordening Gegevensbescherming (AVG). Feitelijk ging het Europa om de bescherming van persoonsgegevens door de lidstaten. De regels betreffen iedere organisatie die omgaat met de gegevens van Europese burgers en betreft dus ook overzeese bedrijven.

Iron Mountain heeft er jarenlang op gehamerd dat bedrijven zich moesten voorbereiden om aan de nieuwe eisen die de AVG stelt, te voldoen. De boetemogelijkheden zijn immers immens. Daarbij is het voldoen aan wet- en regelgeving niet alleen een probleem en kostenpost, maar ook een goede aanleiding om het interne informatiebeheer naar een hoger niveau te brengen en daar de vruchten van te plukken: minder fouten, meer inzichten en de omzetmogelijkheden die inzicht met zich meebrengt.

VAN BEDREIGING NAAR KANSEN

Bij Iron Mountain Nederland is Robbert Woltering de deskundige op het gebied van Information Governance, oftewel de goede organisatie van de informatiestromen. Hij zegt: ”De meeste organisaties zijn uiterst praktisch met de AVG omgesprongen en zorgden dat ze op tijd de eisenlijst konden afvinken. Als je er alleen zo mee omgaat, dan is de AVG slechts een papieren tijger die je temmen moet, met ´compliance´ (het voldoen aan wet- en regelgeving) als enig doel. Dan is de AVG slechts een obstakel dat afleidt van je bedrijfsdoel: klanten bedienen, omzet realiseren en winst maken.”

Is de AVG slechts een storm in een glas water, net als de ´millennium bug´?

“Ik denk dat de AVG wel degelijk een serieus risico is, maar wat ik juist wil benadrukken is dat die ook goede kansen biedt. Bedrijven hebben wat betreft de AVG niet genoeg aan een lapmiddel en zullen gedegen met hun informatie moeten omgaan. Dat is trouwens ook wat we nu zien gebeuren: organisaties zijn zich bewust van de AVG en zijn er druk mee bezig. Aan ons de taak om hen te begeleiden zodat ze ook voordeel uit de investering in hun informatieprocessen halen.

Het werken met informatie, met samengestelde, geanonimiseerde gegevens, vormt het hart van het bedrijfsmodel van´s werelds allergrootste bedrijven. Banken bijvoorbeeld, moeten er veel meer uit kunnen halen, maar worden nu nog rechts ingehaald door fintech-bedrijven die nog nat achter de oren zijn. De AVG dwingt ons te kijken naar de informatieprocen. Iron Mountain ziet dat als hét moment om er ook de vruchten van te plukken.”

AUTORITEIT PERSOONSGEGEVENS

”Bij een stevige externe controle, loopt bijna elke organisatie nu nog tegen de lamp”, zegt Woltering. ”Maar het is niet de bedoeling van de AVG-wetgeving om bedrijven pootje te lichten. Wel bij grove nalatigheid en kwade opzet, maar niet wanneer bedrijven het nog niet helemaal in de vingers hebben en slordigheden begaan. Wat nu sterk speelt is de verplichting om datalekken en fouten op eigen initiatief aan te melden bij de autoriteiten. Er zijn inmiddels zoveel aangiften van fouten gedaan, dat de Autoriteit Persoonsgegeven (AP) die bij zijn huidige omvang van zo´n 130 medewerkers helemaal niet kan verwerken: de AP moet prioriteiten stellen.”

”Een klacht bij de AP indienen, kan overigens alleen door een natuurlijke persoon gebeuren: de AVG beschermt geen informatie, maar het grondrecht op de bescherming van de persoonlijkheidssfeer, door de gegevens van een persoon te beschermen. En die mag aan de bel trekken.

ENQUÊTE

Iron Mountain heeft het een heel aantal klanten gevraagd: die AVG, hoe staat het ermee? ´Alles onder controle´; ´Hier en daar een pijnpuntje´; of toch een ´Hoofdpijndossier´? De antwoorden waren gelijkelijk verdeeld over de drie opties. En de ondervraagde organisaties blijken erin te groeien. Eerst hebben ze beleidsmaatregelen genomen en procedures ingevoerd om de gewenste omgang van medewerkers met persoonsgegevens te garanderen. Nu de AVG een integraal onderdeel van het ondernemerschap is geworden, doen bedrijven een stap achteruit om te bezien of de informatie-organisatie beter kan. ”Voor kleinere, eenduidig ingerichte organisaties is het minder ingewikkeld, grotere kampen met divisiestructuren en hun enorme schaalgrootte. De eerste stap, het in kaart brengen van gevoelige gegevens en de omgang ermee, is nog vrij eenvoudig. Maar het op orde brengen, neemt voor grote organisaties zomaar jaren in beslag”, zegt

Robbert Woltering.

´ARTIKEL 30´ EN EEN DPO

De kernvraag die we ons naar aanleiding van de AVG moeten stellen: ´Welke gegevens hebben we? Aan wie is die informatie gekoppeld? Waar bevindt die zich? En waarom beschikken we erover, oftewel: is er een geldige reden om over die informatie te beschikken?´ Het is de basis van Artikel 30 en de overige vragen vloeien er logisch uit voort, vragen naar de bevoegdheden, beschermingsmaatregelen, bewaartermijnen*, en met wie we onze data delen…

”De AVG vraagt vaak ook om een verantwoordelijke gegevensbeschermingsfunctionaris (´DPO´) voor het beleid”, zegt Woltering. ”Dat geldt voor datamonsters als Google, maar ook voor een

datagevoelig marktonderzoeksbureau met vijftig mensen. Als persoonsgegevens de kern van je onderneming vormen, dan is een DPO vereist. Een transportbedrijf met tweehonderd wagens op de weg, is meestal vrijgesteld.”

Bedrijven die zich eerst alleen beschermd hebben tegen de bedrijfsrisico´s die de AVG met zich meebrengt, vragen Iron Mountain nu de zaken fundamenteel aan te pakken. Want dat is de belangrijke bijvangst van goed informatiebeheer: zakelijke winst boeken uit de drietrapsraket data, informatie, en kennis.

INFORMATIECULTUUR

Naast de organisatie van informatie liggen er dankzij de AVG ook kansen in de bedrijfscultuur. In de horeca draait het om lekker, gezellig en betaalbaar, maar in de keuken ook altijd om schóón. Dat schone werken, bereik je niet met briefjes aan de muur, evenzogoed als dat zo niet lukt met veilig werken bij de brandweer. Zo moet ook ´informatiebewustzijn´ in de aard en het wezen van de organisatie en zijn medewerkers zitten. ”Informatiegericht werken en informatiebewustzijn bereik je alleen als personeelszaken, de leidinggevenden en de directie dat als doel stellen. Pas dan verandert de werving en selectie, de aansturing van mensen en geeft de leiding het goede voorbeeld”, zegt Robbert Woltering, “en dat zijn voorwaarden voor een cultuuromslag.”

FUSIES, OVERNAMEN EN VERVREEMDEN

Extra aandacht is geboden bij fusies, overnamen en afstoting van bedrijfsonderdelen. Die aandacht was er bijvoorbeeld al voor IT-systemen die samengevoegd of juist ontvlochten moesten worden, wat soms erg ingewikkeld kan zijn. ”Maar let ook op de AVG bij het wijzigen van de juridische status van de organisatie of onderdelen daarvan en maak er een apart hoofdstuk van in het draaiboek van de reorganisatie.”

FACILITY, CIO ÉN COMPLIANCE OFFICER

Woltering: ”De AVG heeft het informatiebeheer naar een hoger plan getild. We zitten nu nog vaak met alleen de facility manager om tafel, omdat we traditioneel de archieven helpen beheren, of we ondersteunen de bedrijfsjurist. Maar om de AVG fundamenteel goed aan te pakken, moeten de CIO en de compliance officer ook aanschuiven.”

Een jaar na invoering van de AVG ziet Iron Mountain verhoogde aandacht en interesse voor de informatie waarover zij beschikken. Dat proces is in volle gang. Conclusie die we nu al durven te trekken, is dat de winst uiteindelijk groter zal zijn dan de inspanning. ”De AVG is de trigger om met informatie aan de slag te gaan zoals

Iron Mountain dat idealiter ziet”, besluit Woltering.

* De AVG staat het niet toe persoonlijke gegevens langer te bewaren dan voor de (voormalige) klant of medewerker noodzakelijk is. Maar andere wetten eisen dat we gegevens lang genoeg bewaren, dus dat vraagt nauwkeurige overweging.