dFakto GDPR360 loopt vooruit op de implementering van de GDPR

door | mrt 13, 2018 | Non classé, technologie | 0 Reacties

Met het oog op de nieuwe EU-verordening inzake gegevensbescherming concentreren de meeste organisaties zich op doorlichting, waarbij implementering en operationaliteit worden verwaarloosd. Met zijn GDPR360-oplossing biedt dFakto een managementtool voor de nieuwe regelgeving.

Veel organisaties bevinden zich nog in de beoordelings- of gapanalysefase. Dat zijn de bouwplannen voor het huis, een mooie schets van de architect, maar ook niet meer dan dat, aldus Thibaut De Vylder, CEO van dFakto. ‘De fundering leggen, de muren optrekken, de kleuren kiezen en de verhuisdatum vastleggen? Er zijn geen precieze plannen, geen budgetten, geen mensen die erop gezet zijn. Alles blijft vaag. Met GDPR360 biedt dFakto een oplossing om de implementering van de noodzakelijke GDPR-acties te ondersteunen en ze te structureren.

Dit aanbod komt voort uit een vaststelling: in de analysefase in de aanloop naar de GDPR worden organisaties meestal bijgestaan door advocatenkantoren voor het wettelijk kader en door cybersecurity-specialisten of zelfs GDPR-consultants om assessments en DPIA’s (Data Protection Impact Analysis) op te stellen. ‘Kortom, tot nu toe wordt er vooral papier geproduceerd, véél papier,’ vervolgt Thibaut De Vylder. ‘En ik moet vaak vaststellen dat die analyses niet erg concreet zijn en tastbaarheid missen … Om het goed te doen moet je op zijn minst weten wat de risico’s zijn, wat je kunt doen om die te verminderen, wie verantwoordelijk en wanneer de deadlines zijn. Ik kom terug op het beeld van de bouwschets. Daar kun je de muren van het huis niet mee bouwen waarin je elke dag zult wonen. Je hebt een plan van uitvoering en goed materiaal nodig om te verzekeren dat er ook echt gebouwd wordt!

Volgens dFakto biedt de presentatie van GDPR in de meeste seminars geen antwoorden. Zeker, er wordt gepraat over principes zoals de termijnen voor kennisgeving of het recht om te worden vergeten; er wordt ook gepraat over controles en sancties. En dat zijn inderdaad realiteiten. Helaas overheerst het idee van dwang. Wat bijgevolg de zin voor initiatief verlamt. Maar zorgen dat je in orde bent met GDPR kan vooral een geweldige kans zijn om de controle terug te krijgen over het verzamelen van data en de exploitatie ervan. Om niet alleen de kwaliteit van de verwerking te verbeteren, maar vooral ook de waarde ervan. In die zin is de Europese verordening een governanceproject op het gebied van gegevensbeheer.

GDPR als onderdeel van een continue verbetercylus

GDPR is in wezen een zeer schaalbare uitdaging voor het gegevensbeheer. De GDPR360-oplossing vereist een soepele aanpak van de data om technische of organisatorische maatregelen te implementeren, waarbij de mens ervoor verantwoordelijk blijft die te definiëren, toe te passen en te verifiëren dat ze worden nageleefd. Dat is een kernpunt van gegevensbeheer, want gegevens zijn niet louter een kwestie van informatica – zeker niet! En dus is er een eenvoudig te gebruiken oplossing nodig. ‘In GDPR360 gebruiken we verschillende zeer visuele indicatoren, zoals weerpictogrammen,’ voegt Thibaut De Vylder eraan toe. ‘De bedoeling is gebruikers GDPR te laten naleven en er een onderdeel van een continue verbetercyclus van te laten maken.’

Afwijkingsrapporten, analyses, dashboards worden opnieuw geëvalueerd; nieuwe taken ontstaan zodra nieuwe risico’s worden vastgesteld, beoordeeld en gecommuniceerd in een bijgewerkte versie van de DPIA’s. De voortgang van de taken alsook de risico’s evolueren continu. De oplossing is soepel en makkelijk uitbreidbaar naar andere gegevensbronnen en compliance-problemen; de architectuur garandeert dat de nieuwe functies niet in gevaar brengen wat al in productie is.

Na een kwaliteitsbeoordeling kan de GDPR360-oplossing in minder dan een maand worden geïmplementeerd a rato van een vaste prijs voor vier gegevensbronnen (optioneel nog veel meer), gevolgd door een maandelijkse betaling voor de hosting-. licentie- (SaaS) en ondersteuningskosten. Kleine bedrijven kunnen de uitgaven hiervoor onderling delen. Afgezien van de bedrijven die persoonlijke gegevens van hun klanten, leveranciers e.d. beheren (Data Controller), heeft dFakto ook al veel dienstverleners in de marketing, de human resources, de IT en actoren uit het verenigingsleven en trustmaatschappijen aangesproken (Data Processor). En uiteraard ook DPO’s, die de oplossing kunnen gebruiken in het as-a-servicemodel; zij kunnen hun werkzaamheden vervolgens toespitsen op sturing en verschillende clients implementeren.

De GDPR360-oplossing is volledig conform en complementair met de methodologische aanbevelingen van de CNIL (Commission Nationale Informatique & Libertés) in Frankrijk, de Commissie voor de bescherming van de persoonlijke levenssfeer in België, de Luxemburgse Nationale commissie voor gegevensbescherming en, uiteraard, de Europese verordening.

Met de GDPR360-toepassing kunnen de GDPR-vereisten punt voor punt worden afgewerkt. De vereisten voor het in kaart brengen van gevoelige gegevens, het bijhouden van een verwerkingsregister en het opzetten van interne procedures om de bescherming van de gegevens te garanderen, behoren bijvoorbeeld tot de grondbeginselen van gegevensbeheer; het beheersysteem voor de prioriteiten in het voldoen aan huidige en toekomstige verplichtingen wordt ‘afgedekt’ door de gegevensbeheerstrategie, die nu juist bestaat in het prioriteren van en focussen op de te zetten stappen in het gegevensbeheerproces. Het risicobeheersysteem, het privacy-effectonderzoek en de documentatie die nodig is om naleving te bewijzen, zijn ook standaard opgenomen in een datagovernancebeleid.

Een echte ‘datacultuur’ in het bedrijf

Als we Thibaut De Vylder mogen geloven, gaat het hier dus om een continu project, waarbij 25 mei 2018 niet zozeer een deadline is als wel de begindatum van een constant verbeteringsproces. Het zou dan ook een grote fout zijn om dit ‘met ijzeren vuist’ aan te pakken. Kort samengevat: elke dienst of afdeling die betrokken is bij gegevensverwerking moet nadenken over al zijn voorzieningen; alles bij elkaar zetten, en zo snel mogelijk regels uitvaardigen. Dit is een beperkte aanpak. Die kan op het eerste gezicht afdoende lijken, maar vertoont toch veel zwakke plekken: het gaat hier om een ‘verkokerde’ versie van de dingen, om een doorlichting die periodiek moet worden overgedaan (zodra over een nieuwe verwerkingswijze wordt gedacht, in feite, als je in orde wilt blijven met GDPR), nul analyse van het effect van deze veranderingen op het datatraject en dus grote moeilijkheden om de impact op de privacy te onderzoeken… Met als resultaat dat je – ongetwijfeld – ‘helemaal binnen de lijntjes’ van de Europese verordening blijft, maar ten koste van veel inspanningen in geval van handmatige verwerking, zonder de minste return on investment te kunnen verwachten van deze saaie aanpak. Erger nog: deze benadering dreigt de datastrategie van het bedrijf ‘steriel’ te maken. En ze laat zich het principe van ‘GDPR by design’ ontgaan.

dFakto, specialist in governance en sturing

Databeleid is niet gewoon maar een andere manier om helemaal klaar te zijn tegen 25 mei 2018. De voordelen ervan reiken heel wat verder dan het toepassingsgebied van de nieuwe EU-verordening op de gegevensbescherming. Door erin mee te gaan zullen organisaties de exploitatie van persoonlijke gegevens op een schaalbare manier kunnen aanpakken. Bij nieuwe ontwikkelingen in de regelgeving is het belangrijk een gezonde basiskennis te hebben van persoonlijke gegevens, en van de tools en de methoden om de regels soepel te kunnen naleven. Het is dan volkomen onnodig om in de toekomst persoonlijke gegevens, hun locatie of hun traject door de systemen nog eens opnieuw te gaan natrekken. Dat is dan al afgehandeld en ‘by design’ up-to-date gehouden door data governance.

Goed beleid helpt ook om een echte ‘datacultuur’ in het bedrijf te laten opbloeien en vooral om die ook buiten de invloedssfeer van de IT te laten gedijen.Een implementering van data governance wordt als geslaagd beschouwd als iedereen natuurlijk en behoorlijk met data omgaat,’ zegt Thibaut De Vylder. ‘Dat wil zeggen, nu hebben we het uiteraard over persoonlijke gegevens. Met als logisch gevolg dat je niet meer aan de ene kant een DPO hebt die puur een “Mr Compliance” zou zijn en aan de andere kant professionals die de data gebruiken zoals het hun goeddunkt, maar gebruikers die hun verantwoordelijkheid hebben opgepakt, ‘data citizens’ ten dienste van hun organisatie die enerzijds gegevens efficiënter gebruiken (vereenvoudigde verwerking, automatisering van handmatige arbeid, kostenbeperking, …), maar anderzijds ook makkelijker mogen ingaan op nieuwe mogelijkheden voor het gebruik van data in een digitale wereld (impact op de verkoop, de inkomsten, cocreatie van nieuwe producten en diensten…).

Van een verplichting naar een kans

Data governance is een terrein waarop dFakto al zeventien jaar excelleert. De GDPR360 beantwoordt aan de behoeften in verband met de implementering na doorlichting van de GDPR en in verband met de dagelijkse operationaliteit, maar kan ook overweg met andere vormen van compliance, zoals de ISO27001, ePrivacy en toekomstige andere. Volgens hetzelfde principe heeft dFakto verder ook Transformation360 ontwikkeld, een managementoplossing die tegenwoordig wereldwijd wordt toegepast voor de aansturing en de analyse van complexe portfolio’s van programma’s en projecten, en Client 360, dat voorziet in een volledig ‘client-centric‘ overzicht van de waarheid over de klanten. ‘Wij zijn een specialist in het aansturen van hokjesdoorbrekende initiatieven bij grote instellingen zoals BNP Paribas, met meer dan vijftien grote parallel aangestuurde programma’s, sommige daarvan met meer dan 3.400 projecten en 1.200 programma’s die met grote frequentie gemonitord worden,’ verzekert Thibaut De Vylder.

GDPR360 versie B2B voor Data Controller of Data Processor

Met zijn GDPR360-oplossing biedt dFakto een echte oplossing voor bedrijven, respectievelijk als data controller (Client) en als data processor (Leverancier, bijvoorbeeld aan makers van niet-conforme software). Beide hebben zowel nieuwe rechten als plichten geërfd, in de ogen van zowel de toezichthoudende overheid (Supervising Authorities) als in die van de rechtmatige bezitters van de informatie (Data Subjects). Zo kunnen alle leveranciers die namens een klant privégegevens beheren hun verantwoordelijkheid op zich nemen in overeenstemming met de wetgeving, maar ook hun klanten dat label aanbieden. Om zelf in orde te zijn met GDPR, controleren veel klanten momenteel of hun onderaannemers aan de voorschriften voldoen. De oplossing helpt verschillende gegevensbronnen voor beide partijen te beheren, zelfs op andere locaties.

Een nieuwe waardeketen in het gegevensbeheer

Uitgaande van de nieuwe wetgeving hebben zich verschillende actoren geprofileerd om aan de eerste assessmentbehoeften tegemoet te komen en dFakto streeft naar het opzetten van een breder ecosysteem, een end-to-endoplossing waarin verschillende elkaar aanvullende kwaliteitsspelers verenigd zijn. dFakto biedt zijn oplossing direct aan zijn klanten aan, maar ook indirect via wederverkopers, onder zijn eigen naam of als wit product. Voor kleine bedrijven is ook een vorm van kostendeling mogelijk. De DPO’s ten slotte blijven niet achter: met behulp van de aangeboden technologie kunnen ze zichzelf als ‘Augmented DPO’ beschouwen, waardoor zij hun klanten doeltreffender kunnen beheren door hun een extra toegevoegde waarde te bieden in de vorm van een besparing op hun compliance-beheer.

In Maart Solutions Magazine

Oplossingen Magazine wijdt binnenkort speciale verslagen over de veiligheid van mobiele toepassingen :GDPR, Samenwerking & video, Home Protection

> Ik wil dat zichtbaarheid op dit onderwerp
> Abonneer u op de maandelijkse papieren

PUB

EMC
Summary
dFakto GDPR360 loopt vooruit op de implementering van de GDPR
Article Name
dFakto GDPR360 loopt vooruit op de implementering van de GDPR
Description
Met het oog op de nieuwe EU-verordening inzake gegevensbescherming concentreren de meeste organisaties zich op doorlichting, waarbij implementering en operationaliteit worden verwaarloosd. Met zijn GDPR360-oplossing biedt dFakto een managementtool voor de nieuwe regelgeving.
Author
Solutions Magazine