Nieuwe regels privacybescherming voor informatieprofessionals – deel 1

Op 25 mei gaat de Europese wet privacybescherming (GDPR of AVG) van kracht. Burgers krijgen meer zeggenschap over hun eigen persoonlijke data en dat is een goede ontwikkeling. Maar om die wet na te leven moet er wel het een en ander worden geregeld in de meeste organisaties.

Deze nieuwe privacywetgeving raakt een fikse hoeveelheid informatie in bijna elke organisatie die communiceert met een ingezetene binnen de EU. Wel beschouwd is dit een onderdeel van informatiemanagement. En daar kom jij in beeld als informatieprofessional.

Om je rol en werkwijze te helpen bepalen, beschrijf ik in twee artikelen hoe je optimaal met de consequenties en kansen (!) van de nieuwe privacywetgeving kunt omgaan aan de hand van de levenscyclus van informatie.

De levenscyclus van informatie

Informatiemanagement is het systematisch plannen, ontwikkelen, beheren, distribueren, evalueren en behouden van alle enterprise informatie in een organisatie. Die informatie kan privacygevoelige informatie betreffen en die moet worden beschermd.

EIM levenscyclus

Privacybescherming vanaf het eerste begin

De GDPR dwingt af dat privacybescherming al vanaf het eerste begin door organisaties wordt geregeld. Door ‘privacy by design’ en door ‘privacy by default’.

Privacy by design houdt in dat je al tijdens de ontwikkeling van informatiesystemen aandacht besteedt aan privacyverhogende maatregelen. Privacy by default betekent dat je zo min mogelijk persoonsgegevens verwerkt, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking.

Privacybescherming in het hart van je strategie

PlanfaseIn de planfase van de informatie levenscyclus zijn ‘privacy by design’ en ‘privacy by default’ leidend. In deze fase worden de organisatiedoelen en de behoefte van de doelgroep vertaald naar een digitale strategie. In deze fase wordt ook een informatie-architectuur ontwikkeld en wordt de informatiegovernance bepaald.

Bij het bepalen van de digitale strategie moet je al rekening houden met de ‘privacy by default’, dus het zo beperkt mogelijk inzetten van persoonlijke informatie en het verantwoording afleggen over welke informatie je gebruikt en waarom. Je moet in de digitale strategie duidelijk aangeven welke informatie je wanneer verwerkt en in welke processen.

Je wilt het informatie-aanbod personaliseren? Goed idee. Maar heb je toestemming van de betrokkenen? Of kun je de gegevens anonimiseren of pseudonimiseren met een even goed resultaat? Kun je ook toe met minder persoonlijke informatie? Weet je zeker dat je de informatie die je inzet niet oneigenlijk hergebruikt voor een ander doel? Dit soort vragen moet je stellen én beantwoorden.

Zaken op orde in architectuur en governance

Bij het vertalen van de digitale strategie naar een informatie-architectuur moet je rekening houden met ‘privacy by design’. Bescherm je de informatie en de metadata optimaal? Kun je informatie op elk moment traceren en zo nodig verwijderen? Is er een directe en controleerbare verbinding tussen de informatie en dat specifieke proces? Wordt dit ondersteund door de informatiesystemen?

De informatiegovernance moet er onder andere voor zorgen dat de privacybescherming is verwerkt in het informatiebeleid, de procedures en de richtlijnen, dat het eigenaarschap voor de informatie is belegd, dat datalekken worden gemeld, dat het privacybeleid helder is en ook daadwerkelijk zo wordt uitgevoerd, dat er regelmatig een assessment wordt gehouden en dat er een functionaris is voor de gegevensbescherming.

Privacybescherming verderop in de levenscyclus

Ook in de andere fasen van de levenscyclus moet je rekening houden met privacybescherming. In deel 2 schrijf ik over de andere vijf fasen in de informatie levenscyclus en GDPR: ontwikkel, beheer, distribueer, evalueer en behoud.

Meer informatie over GDPR / AVG vind je in mijn andere artikelen en mijn introductie-artikel Bereid je voor op de nieuwe privacy wetgeving.


Trainingen privacy- en gegevensbescherming (GDPR / AVG)

Data Protection Officer

Vanaf 25 mei 2018 hebben organisatie grote en ongekende verantwoordelijkheden in het kader van privacy- en gegevensbescherming. Organisaties krijgen tal van nieuwe verplichtingen plus de verantwoordelijkheid (accountability) om aan te tonen dat zij zich aan de nieuwe Europese privacywet houden.

Deze nieuwe wet heeft de General Data Protection Regulations (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) in het Nederlands.

In samenwerking met kennispartner International Management Forum biedt TIMAF de volgende GDPR-trainingen aan:

Privacy en Data Protection in de praktijk

Privacy en Data Protection in de praktijk voor de publieke sector

Data Protection Officer (DPO) in de praktijk

Certified Data Protection Officer (CDPO)

Privacy Impact Assessment (PIA) in de praktijk

One thought on “Nieuwe regels privacybescherming voor informatieprofessionals – deel 1

Comments are closed.