Een procesbenadering voor GDPR

GDPR banner

Vanaf mei 2018 moet elke organisatie die actief is met Europese klanten, de GDPR (of AVG) regels respecteren. Het loont de moeite om eens stil te staan bij de impact van deze nieuwe regelgeving op de bedrijfsprocessen van die organisaties, en hoe BPM de naleving van de GDPR-regels kan vergemakkelijken. Laten we eerst eens kijken naar wat GDPR eigenlijk is.

GDPR in een notedop

Wat is het?

GDPR staat voor General Data Protection Regulation. In het Nederlands, vertaald als Algemene Verordening Gegevensbescherming – afgekort AVG. Een verordening die erop gericht is om de gegevens over – en dus de privacy van – Europese burgers op een samenhangende en uniforme manier te beschermen in alle EU-landen.

Niet alleen commerciële bedrijven moeten compliant zijn. Ook non-profit- en overheidsorganisaties die persoonlijke gegevens verzamelen of gebruiken, moeten zich aan de GDPR-regels houden.

En niet alleen Europese organisaties, doch elke organisatie ter wereld die persoonlijke gegevens van Europese burgers opslaat of beheert.

Wie moet het naleven?

Het is van toepassing op elke organisatie die zich bezighoudt met persoonlijke gegevens, dat wil zeggen gegevens waarmee iemand personen kan identificeren. Dus niet alleen hun (eerste en laatste) namen, telefoonnummers, fysiek adres, enz. maar ook gegevens zoals e-mailadressen, IP-adressen, gebruikersnamen. Of zelfs iemands aliassen, schoenmaat, medische gegevens, geloofsovertuigingen, enz.

GDPR’s belangrijkste principes

Voordat we kijken naar hoe BPM de implementatie van GDPR vergemakkelijkt, en hoe het helpt om de naleving ervan te waarborgen, laten we eens kijken naar de belangrijkste principes van GDPR en hoe deze uw organisatie kunnen beïnvloeden.

1. Transparantie & toestemming

TransparencyPersonen van wie u gegevens opslaat of gebruikt (zogenaamde betrokkenen), moeten op de hoogte worden gesteld van het feit dat u deze gegevens opslaat en gebruikt. Ze moeten ook weten waarom u deze gegevens opslaat, hoe lang u ze bewaart, enzovoort. Toestemming betekent dat uw organisatie geen gegevens mag bijhouden over personen wanneer deze het niet eens zijn. U zou zelfs de toestemming moeten kunnen aantonen van personen van wie u gegevens hebt verkregen.

2. Recht op toegang

Als u enigszins actief bent in de EU, kan elke EU-burger uw organisatie vragen of er persoonlijke gegevens over hem of haar worden verwerkt. En zo ja, waar en voor welk doel. Als organisatie moet u in staat zijn om een kopie van ‘zijn’ of ‘haar’ persoonlijke gegevens op verzoek te verstrekken, kosteloos en in een elektronisch formaat. Zodra personen u op de hoogte stellen dat de gegevens die u over hen bewaart onjuist of achterhaald zijn, bent u verantwoordelijk om deze bij te werken.

3. Recht om te worden vergeten

De betrokkene heeft het recht om de organisatie die zijn of haar gegevens opslaat of verwerkt te verzoeken om de gegevens uit uw database(s) te verwijderen.  Tenminste, zolang het publieke belang van de beschikbaarheid van die gegevens niet op het spel staat.

4. Plicht om een inbreuk te melden

Wanneer een gegevensinbreuk plaatsvindt die een risico kan inhouden voor de rechten en vrijheden van de betrokken personen, moet de organisatie deze tekortkoming melden binnen de 72 uur nadat zij voor het eerst kennis heeft gekregen van deze schending. En het moet klanten, controllers,… ‘zonder onnodige vertraging‘ op de hoogte brengen.

Portability5. Recht op gegevensoverdraagbaarheid

Dit betekent dat burgers hun gegevens van de ene dienstverlener naar de andere kunnen overbrengen. Dientengevolge hebben betrokkenen die ‘hun’ persoonsgegevens in een ‘gebruikelijk en machinaal leesbaar formaat’ hebben verstrekt, het recht om die gegevens naar een andere controller te verzenden.

6. Gegevensbescherming door Ontwerp

Dit betekent dat gegevensbescherming vanaf het begin van het systeemontwerp moet worden opgenomen, in plaats van iets (achteraf) bovenop het ontwerp. Concreet betekent dit dat organisaties

  • persoonlijke gegevens alleen mogen bewaren en verwerken als deze absoluut noodzakelijk zijn voor de uitvoering van hun (bedrijfs)activiteiten, bijvoorbeeld voor de realisatie van hun missie.
  • de toegang tot persoonlijke gegevens moeten beperken tot alleen die personen binnen de eigen organisatie die deze gegevens nodig hebben om hun werk uit te voeren.

7. Data Protection Officers (functionaris voor de gegevensbescherming)

Voor organisaties die op grote schaal regelmatige en systematische opslag of verwerking van persoonlijke gegevens moeten voeren, of die speciale categorieën gegevens nodig hebben, b.v. gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, is de aanstelling van een functionaris voor gegevensbescherming – in het Engels Data Protection Officers (DPO) – verplicht.

8. Territoriale reikwijdte

Ook al zou men kunnen denken dat GDPR alleen van toepassing is voor Europese bedrijven en organisaties, is het bereik veel breder. Elke organisatie die zich bezighoudt met gegevens van EU-burgers, waar deze organisatie zich ook bevindt, is onderhevig aan de GDPR wetgeving. Territorial scope Voor meer informatie over GDPR, kan je steeds een kijk nemen naar deze website, waarvan bovenstaande principes geïnspireerd zijn. Of je kan gratis apps gebruiken die sommige advocatenkantoren speciaal voor GDPR hebben ontwikkeld, bijvoorbeeld DLA Piper’s Explore GDPR, Fieldfisher’s GDPR – complete guide; of One Trust’s GDPR Resource Center. Allen zowel beschikbaar voor Android- als voor iOS-apparaten.

De procesbenadering voor GDPR

Er zijn 2 hoofdbenaderingen waarbij BPM jou kan helpen om jouw organisatie GDPR-compliant te maken:

  • de impact van GDPR op uw bestaande bedrijfsprocessen beheren
  • nieuwe bedrijfsprocessen bedenken die een duurzame GDPR-naleving mogelijk maken

A. GDPR en bestaande bedrijfsprocessen

Procesgerichte professionals en trouwe Effic-blog lezers zijn zich ervan bewust dat een bedrijfsproces geen doel op zichzelf is, maar dat het bedoeld is om klanten, burgers, leden, enz. te dienen. Vandaar dat er een grote kans is, bij elke organisatie die bedrijfsprocessen beheert, dat die omgaat met persoonlijke gegevens. Trouwens niet alleen klantgegevens. Veel bedrijfsprocessen ‘consumeren’ persoonlijke gegevens. Denk aan een verkooporder of een afleveringsbewijs in een B2C (Business-to-Consumer) context; of een brief van een gemeente naar zijn burgers. Zijn deze geen proces outputs? En gebruiken deze processen geen persoonlijke gegevens, onder andere namen en woonadressen – of e-mailadressen voor hun elektronische versie?

Hier volgen 4 stappen die je op weg helpen:

1. Identificeer de GDPR-gerelateerde processen

Het eerste dat je best kan doen, is bepalen welke bedrijfsprocessen persoonlijke gegevens verzamelen, opslaan, beheren (bijvoorbeeld gebruiken of transformeren) of verwijderen.

GDPR - customer dataOver het algemeen zijn er 2 voorname typen persoonlijke gegevens, namelijk werknemersgegevens en klantgegevens. Natuurlijk moet je klantgegevens in brede zin begrijpen: voor een ziekenhuis betekent dit gegevens over patiënten, terwijl dit voor overheidsorganisaties gegevens zijn over burgers, enz.

Daarom zijn bedrijfsprocessen waarin persoonlijke gegevens worden opgeslagen, gebruikt of verwerkt vaak

  • HR-gerelateerde processen, die te maken hebben met personeelsgegevens,
  • Verkoop, Marketing, Dienst-na-verkoop, distributie en andere processen die klantgegevens benodigen.

2. Evalueer welke gegevens en door wie ze in die processen worden gebruikt

Verwijzend naar het Gegevensbescherming door ontwerp principe, moet je weten voor welke activiteiten precies welke persoonlijke gegevens nodig zijn, en wie binnen jouw organisatie toegang nodig heeft tot deze gegevens. Elke andere werknemer zou geen toegang mogen hebben tot deze persoonlijke gegevens.

3. Identificeer de risico’s m.b.t. deze persoonlijke gegevens

Als u eenmaal weet welke processen en respectieve activiteiten vatbaar zijn voor GDPR, beoordeel dan de aard van de risico’s die kunnen voortvloeien uit de betrokken persoonsgegevens. Enkele voorbeelden van activiteiten met een hoog risico zijn: profilering, persoonlijke beoordelingen, besluitvorming voor personeelsselectie, systematische monitoring van individuen, verwerking van persoonlijke gegevens op grote schaal (bijvoorbeeld door payroll-engines), combinatie van datasets over dezelfde personen, enz.

4. Beperk deze risico’s – GegevensbeschermingsEffectBeoordeling (GEB):

Afhankelijk van het risiconiveau moet jouw organisatie misschien zogenaamde Data Protection Impact Assessments (DPIA) – in het Nederlands GegevensbeschermingsEffectBeoordeling (GEB) - toepassen. Volgens GDPR is een DPIA of GEB verplicht wanneer:

  • Biometrie wordt gebruikt bij de identificatie van personen.
  • Een proces gebruik maakt van genetische gegevens.
  • Persoonlijke gegevens worden verkregen door een derde partij en op basis daarvan wordt besloten om diensten aan te bieden of te stoppen.
  • De financiële solvabiliteit beoordeeld wordt om het risicoprofiel van de betrokken persoon te bepalen, om zo te beslissen over het al dan niet verlenen van diensten.
  • De verwerking van die aard is, dat een schending van persoonlijke gegevens de fysieke gezondheid van de betrokken persoon in gevaar zou kunnen brengen.
  • De verwerking aanleiding geeft tot een communicatie – of het ter beschikking stellen van het publiek – van persoonsgegevens met betrekking tot een groot aantal betrokkenen.
  • Financiële of gevoelige gegevens verwerkt worden die voor andere doeleinden (her)gebruikt worden dan waarvoor ze zijn verzameld – behalve wanneer gebaseerd op toestemming of voor een wettelijke verplichting.
  • Persoonlijke aspecten worden geëvalueerd om professionele prestaties, economische situaties, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of bewegingen te analyseren of te voorspellen.
  • Er profielen van natuurlijke personen op grote schaal worden opgesteld.
  • Grootschalige verwerking plaats vindt van persoonsgegevens van kwetsbare natuurlijke personen, bv. van kinderen, voor andere doelen dan waarvoor ze werden verkregen.DPIA cycle
  • De verwerking beoogt om de kennis, prestaties, vaardigheden of geestelijke gezondheid van leerlingen vast te leggen en hun evolutie te volgen, namelijk aan de hand van leerlingvolgsystemen, ongeacht het type onderwijs dat deze leerlingen volgen.
  • Meerdere controllers van plan zijn om een algemene applicatie- of verwerkingsomgeving voor een hele sector of een deel daarvan te implementeren en gevoelige gegevens te gebruiken.

Download hier (van deze EC-website) de volledige beschrijving over wanneer en hoe een DPIA volgens GDPR moet worden toegepast. Deze werkgroep (WP 248) concentreert zich inderdaad op de verwerking van persoonsgegevens. Hierboven vindt u de DPIA-cyclus, afkomstig van deze pdf.

B. Nieuwe bedrijfsprocessen voor de GDPR-naleving

Teneinde GDPR na te leven, moet je mogelijks een aantal nieuwe activiteiten of zelfs nieuwe processen voorzien. Op basis van de hierboven beschreven GDPR-principes, behoren volgende nieuwe – of effectievere – activiteiten en processen tot de mogelijkheden:

1. Toewijzen van een DPO (Data Protection Officer)

Als jouw organisatie voldoet aan (een van) de criteria van het zevende GDPR-principe hierboven vermeld, dan zal je duidelijk actie moeten ondernemen, nl. een DPO (of functionaris voor gegevensbescherming) toewijzen. Download hier (van de EC-site) de richtlijnen over DPO’s. Onnodig te melden dat het toewijzen van een DPO, die zijn/haar werk zal doen, een grote impact zal hebben op uw bestaande bedrijfsprocessen. Hij/zij zal alle bedrijfsprocessen gerelateerd aan persoonlijke gegevens moeten evalueren en mogelijks herontwerpen vanuit het GDPR-perspectief.

2. Communiceer transparant wat u zal doen met persoonlijke gegevens

Communicate transparentlyWanneer u gegevens van klanten of werknemers vraagt, kan je hen best proactief laten weten waarvoor je deze gegevens gaat gebruiken, hoe veilig je deze zal beheren, enz. Persoonlijke gegevens bewaren of verwerken kan met GDPR inderdaad best als een voorrecht beschouwd worden. Daarom zal het nog belangrijker zijn om een goede vertrouwensrelatie met klanten en werknemers te onderhoudenEen goed beschermde zelfbedieningssite – b.v. een beveiligd extranet (voor klanten) of intranet (voor werknemers) – waardoor individuen hun ‘eigen’ gegevens zelf kunnen bekijken en bijwerken is niet alleen transparant, maar ook behoorlijk efficiënt.

3. Snel antwoorden op verzoeken “om toegang” of “om vergeten te worden”

Als je een dergelijke beveiligde zelfbedieningssite niet voorziet, hou er dan rekening mee dat je de respectieve persoonlijke gegevens van de persoon die erom verzoekt, snel kan bezorgen, of snel kan aanpassen, verwijderen of vernietigen. Daarom ben je hier best op voorbereid.

4. Zorg dat je snel kan communiceren in geval van inbreuk

Wees voorbereid op het slechtste geval. Ondanks de hoge gegevensbeveiliging die je hebt ingesteld om persoonlijke gegevens te beschermen, kan een ongeval (hacking) niet voor 100% worden uitgesloten. Wees daarom klaar om zoiets tijdig te communiceren.

5. Wees in staat om toestemming te bewijzen

Evidence

Hou er ook rekening mee dat jouw organisatie moet kunnen aantonen dat ze toestemming heeft verkregen van deze personen wiens persoonlijke gegevens bewaard of gebruikt worden. Het opslaan van dergelijk bewijs kan dus waardevol zijn op de langere termijn.

6. Gegevensbeveiliging en toegangscontrole

Bescherming van persoonsgegevens is niet alleen iets tegen externe partijen, die namelijk deze gegevens willen ‘stelen’. Volgens GDPR moet je ze ook beschermen tegen personen binnen jouw eigen organisatie, nl. personeel waarvan de rol of activiteiten totaal geen verband houden met deze persoonlijke gegevens.

Daarom moet je niet alleen de beveiligingsniveaus tegen de buitenwereld voorzien of verhogen. Je moet ook de toegang tot persoonlijke gegevens beperken tot alleen die werknemers die ze nodig hebben voor het uitvoeren van hun werk. En in geval van problemen – of audit – moet je laten zien welke maatregelen je hiervoor hebt getroffen, zoals bv. een op rollen gebaseerd toegangsbeheer.

Wie nieuwe activiteiten en processen zegt, zegt ook change management om deze (her)nieuw(d)e processen effectief te implementeren en hun correcte navolging te verzekeren.

Tenslotte

De waarde van persoonlijke gegevens zal hoger zijn dan ooit tevoren. Vóór GDPR werden klantgegevens beschouwd als – of zo goed als – gratis, zelfs enigszins waardeloos. Een van de belangrijkste gevolgen van GDPR, met name als het gaat om de persoonlijke gegevens van klanten, is de stijging van deze waarde. Persoonlijke gegevens zijn nu een troef die zorgvuldig moet worden beschermd, opgeslagen en beheerd met toestemming en allesbehalve permanent.

Bedrijfsprocessen die hun zorgvuldig beheer en bescherming bevorderen, zullen hun vruchten afwerpen op lange termijn. Inderdaad, een organisatie die voorbeeldig omgaat met persoonlijke gegevens zal het vertrouwen winnen en behouden van haar klanten en zodoende competitief voordeel halen ten opzichte van concurrenten die dit niet doen. Om nog maar te zwijgen over de reputatieschade van die organisaties die GDPR zullen negeren.

Is jouw organisatie reeds GDPR-compliant? Zo ja, hoe heb je dit gerealiseerd? Heb je een procesgerichte aanpak gevolgd? Of welk ander aanpak heb je gevolgd? Deel jouw ervaring via onderstaand vakje Reacties. Of heb je nog andere vragen? Contacteer me dan via het contactformulier.

P.S.: Als je deze informatie nuttig vond, aarzel dan niet om ze te delen met je Facebookvrienden en –fans, LinkedIn contacten, Twitter volgers en Google+ circles via de share knoppen hieronder. Bedankt!