Nieuwe regels privacybescherming voor informatieprofessionals – deel 2

Op 25 mei gaat de Europese wet privacybescherming (GDPR of AVG) van kracht. Deze nieuwe privacywetgeving raakt een fikse hoeveelheid informatie in bijna elke organisatie die communiceert met een ingezetene binnen de EU.

De nieuwe EU wetgeving raakt het hart van informatiemanagement. En daar kom jij in beeld als informatieprofessional. Om je rol en werkwijze te helpen bepalen, beschrijf ik in twee artikelen hoe je optimaal met de consequenties en kansen (!) van de nieuwe privacywetgeving kunt omgaan aan de hand van de levenscyclus van informatie.

Het eerste deel ging over privacy- en gegevensbescherming in je informatiestrategie, -architectuur en -governance. In deel 2 schrijf ik over de andere vijf fasen in de informatie levenscyclus en GDPR: ontwikkel, beheer, distribueer, evalueer en behoud.

De levenscyclus van informatie

Informatiemanagement is het systematisch plannen, ontwikkelen, beheren, distribueren, evalueren en behouden van alle enterprise informatie in een organisatie. Die informatie kan privacygevoelige informatie betreffen en die moet worden beschermd.

EIM levenscyclus

Privacy- en gegevensbescherming als uitgangspunt

In het vorige deel schreef ik over privacy- en gegevensbescherming in je informatiestrategie, -architectuur en -governance. GDPR dwingt af dat privacybescherming al vanaf het eerste begin door organisaties wordt geregeld. Door ‘privacy by design’ en door ‘privacy by default’. Maar ook verder in de levenscyclus moet je rekening houden met de nieuwe EU wetgeving.

Creatie en verzameling

Ontwikkelfase EIM

In de ontwikkelfase wordt informatie gecreëerd, bewerkt, ingescand, verzameld en/of op andere manieren verkregen. Informatie wordt in deze fase ook voorzien van context.

Bij de creatie en zeker bij de verzameling van informatie moet je er goed op letten dat je niet zomaar allerlei privacygevoelige informatie – eventueel als metadata – verzamelt en aan de informatie verbindt.

Is er een wettelijke of bedrijfsmatige reden om die privacygevoelige informatie op te nemen? Heeft de eigenaar van die informatie daar expliciet toestemming voor gegeven? Zo niet, dan kun je deze privacygevoelige informatie niet gebruiken.

Opslag en verrijking

Beheerfase EIM levenscyclusDe beheerfase betreft de organisatie van de informatie. In de beheerfase wordt de informatie opslagen, beveiligd, beoordeeld en goedgekeurd binnen een informatieorganisatie.

De organisatie moet bewijsbaar extra haar best doen om privacygevoelige informatie ‘by design’ te beschermen en haar personeel daarin trainen en faciliteren.

Volgens de nieuwe wet kun je privacygevoelige informatie niet zomaar klakkeloos op allerlei media opslaan, zoals een USB-stick, je ‘eigen’ computerschijf of zelfs Dropbox als dat geen deel uitmaakt van de ‘corporate’ applicatielandschap. Ook privacygevoelige informatie e-mailen zonder extra bescherming mag niet meer. De bescherming van pricacygevoelige informatie die extern wordt opgeslagen en verwerkt moet via een ‘verwerkersovereenkomst’ zijn geborgd.

Als het mis gaat en privacygevoelige informatie toch wordt gelekt, moet je dit onmiddellijk melden bij de Data Privacy Officer of een andere functionaris. Die moet dit dan vervolgens melden bij de locale autoriteit en in sommige gevallen ook de betreffende eigenaar van de privacygevoelige informatie.

Publiceren en personaliseren

Distribueerfase EIM levenscyclusIn de distribueerfase wordt de informatie samengesteld en aangeboden ter publicatie. Informatie kan worden geoptimaliseerd voor een specifiek kanaal of publiek.

Onderdeel van de ‘privacy by design’ is dat onbevoegde personen geen toegang hebben tot privacygevoelige informatie en dat elke inzage wordt vastgelegd. Denk “Barbie” en je begrijpt wat ik bedoel.

In deze fase wordt de aangeboden informatie vaak gepersonaliseerd op het gedrag, het profiel en de herkomst van je ‘digitale gesprekspartner’ zoals de bezoeker van je website of mobiele app. Maar daar is met de nieuwe wetgeving toestemming voor nodig van de eigenaar van de privacygevoelige informatie, zoals een cookie of een geboortedatum. Die toestemming moet expliciet zijn en de uitleg moet helder en kort beschrijven waarvoor toestemming wordt gegeven.

Eenmaal verkregen privacygevoelige informatie mag niet zomaar voor een ander kanaal en zeker niet voor een andere toepassing worden gebruikt zonder opnieuw expliciete toestemming te vragen én te krijgen van de eigenaar van die privacygevoelige informatie.

Evalueren en optimaliseren

Evalueerfase EIM levenscyclusDe evaluatiefase is hét moment om te bekijken of informatie nog steeds actueel, waardevol en relevant is en het publiek de informatie kan vinden.

Deze analyse maakt vaak gebruik van privacygevoelige informatie en daar moet  toestemming voor worden gevraagd als dat al niet eerder is gedaan. Analyse van bijvoorbeeld aankopen en bezoeken op een website is toegestaan als deze analyse verenigbaar is met het oorspronkelijke doel van het eerder verzamelen van die informatie.

Door informatie te anonimiseren of te pseudonimiseren is het wel toegestaan om privacygevoelige informatie in te zetten voor evaluatie en optimalisatie. Tenminste, als de informatie daarmee op geen enkele manier meer te herleiden is tot unieke personen.

Duurzaam opslaan en vernietigen

Behoudfase EIM levenscyclusOok de behoudfase is onderdeel van het informatiemanagement proces. In deze fase wordt waardevolle informatie (geheel of deels) hergebruikt, bewaard of vernietigd informatie die niet langer bruikbaar is.

Organisaties mogen privacygevoelige informatie niet langer voor de eeuwigheid bewaren. De nieuwe privacy-wetgeving bepaalt dat privacygevoelige informatie binnen een bepaalde termijn moet worden vernietigd. Bijvoorbeeld als de persoon al langere tijd geen klant meer is of als de persoon er expliciet om verzoekt.

Weg moet dan ook echt ‘weg’ zijn! Er mag niet ergens toch nog een plukje privacygevoelige informatie van die persoon zijn opgeslagen. Uiteraard blijft dit soort informatie nog wel bewaard als er een wettelijke basis of plicht is om die gegevens duurzaam te bewaren. Denk aan een koopcontract van een huis met informatie van de koper en de verkoper of de informatie van belastingplichtigen in de systemen van de Belastingdienst. Slimmeriken die op 25 mei de Belastingtelefoon bellen met het verzoek om te worden ‘vergeten’ krijgen gegarandeerd nul op het rekest. En niet op de aanslag.

Zo vreemd en ingewikkeld is de GDPR dus niet

Wie dit artikel leest, valt wellicht op dat veel eisen al langer bestonden in andere wetgeving. Veel eisen zijn ook logisch en redelijk. Natuurlijk zet je niet allerlei adresgegevens op een USB-stick die je vervolgens laat rondslingeren. Uiteraard bewaar je personeelsdossiers niet tot in de eeuwigheid. Laat staan dat je patiëntendossiers openstelt voor iedereen die bij een ziekenhuis werkt.

Maar helaas gebeurt dit allemaal wél. We blijven slordig omgaan met privacygevoelige informatie. En diverse grote internetbedrijven misbruiken de onwetendheid en luiheid van consumenten om de privacy te schenden. Deze wet wil daar een eind aan maken. We gaan zien hoe dit allemaal in de praktijk uitpakt.

Werk samen met juristen, IT’ers en DPO’s

Voor informatieprofessionals is nu het moment om intensief samen te werken met andere specialisten aan de privacy- en gegevensbescherming. Maak samen een inschatting van de risico’s in de informatieverzameling, de procesarchitectuur en de informatiesystemen en past het informatiebeleid aan.

Laat je informeren door juristen en de digital privacy officer (DPO) of functionaris gegegvensbescherming (FG). Kijk met IT’ers en architecten naar de IT-sytemen en de architectuur.

Maak afspraken met de afdeling personeel (HR / P&O) over het trainen en faciliteren van medewerkers. Werk met communicatie aan een nieuwe privacyverklaring en andere uitingen. Bespreek met marketeers en analisten wat hun wensen zijn en bepaal hoe je samen hun doelen kunt bereiken.

Kortom, neem je strategische rol als informatieprofessional!

Meer informatie over of privacy-bescherming

In deel 1 van deze reeks schreef ik over privacy- en gegevensbescherming in je informatiestrategie, -architectuur en -governance.

Meer informatie over GDPR / AVG vind je in mijn andere artikelen en mijn introductie-artikel Bereid je voor op de nieuwe privacy wetgeving.


Trainingen privacy- en gegevensbescherming (GDPR / AVG)

Data Protection Officer

Vanaf 25 mei 2018 hebben organisatie grote en ongekende verantwoordelijkheden in het kader van privacy- en gegevensbescherming. Organisaties krijgen tal van nieuwe verplichtingen plus de verantwoordelijkheid (accountability) om aan te tonen dat zij zich aan de nieuwe Europese privacywet houden.

Deze nieuwe wet heeft de General Data Protection Regulations (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) in het Nederlands.

In samenwerking met kennispartner International Management Forum biedt TIMAF de volgende GDPR-trainingen aan:

Privacy en Data Protection in de praktijk

Privacy en Data Protection in de praktijk voor de publieke sector

Data Protection Officer (DPO) in de praktijk

Certified Data Protection Officer (CDPO)

Privacy Impact Assessment (PIA) in de praktijk