Bent u klaar voor GDPR?

Mahinder Thakoer Senior SAP GRC, Security & Authorizations Consultant

Iedere seconde wordt er over de hele wereld enorm veel data verzameld, verwerkt en opgeslagen. De groei van data is exponentieel toegenomen en door de komst van IoT zal dat zeker niet minder worden. Wanneer we een reis boeken, een online transactie doen of zelfs als we naar de supermarkt gaan, worden onze persoonlijke gegevens verzameld. Ook via social media en bijvoorbeeld recruitmentsorganisaties wordt er diverse persoonsgebonden informatie vastgelegd, geraadpleegd en verwerkt. Met de invoering van de Algemene Verordening Gegevensbescherming (AVG, de vertaling van GDPR) per 25 mei 2018 wordt de burger beter beschermd.

GDPR ofwel AVG

De AVG is de Nederlandse vertaling van de Europese wetgeving GDPR, wat staat voor ‘General Data Protection Regulation’, die de WBP (Wet Bescherming Persoonsgegevens) zal vervangen. GDPR is na lang debatteren geaccordeerd in april 2016.

Per 25 mei 2016 is GDPR verwezenlijkt. Per 25 mei 2018 moeten alle organisaties voldoen aan de gestelde regels. Het overtreden van de regels kan organisaties enorm veel geld kosten. In artikel 83, sub 4 (‘Verordening’, 2016), worden de boetes beschreven.

Wet Bescherming Persoonsgegevens (WBP)

De huidige wetgeving, Wet Bescherming Persoonsgegevens, is in de afgelopen jaren veelal toegepast bij bedrijven tijdens het inrichten van processen en systemen. Echter, met de komst van GDPR staan we voor nieuwe uitdagingen.

Enkele regels conform de nieuwe wetgeving

Een van de wetsartikelen (artikel 17) in het publicatieblad (‘Verordening’, 2016) van de Europese Unie schrijft voor dat gegevens van burgers gewist moeten worden uit gegevensverwerkende systemen, wanneer de gegevens bijvoorbeeld niet langer nodig zijn voor het doel ze verzameld zijn. Artikel 17 (‘recht op vergetelheid’) geeft de burger het recht om zonder onredelijke vertraging gegevens te laten wissen, wanneer aan een aantal voorwaarden is voldaan, bij de organisatie die de gegevens heeft verwerkt. Artikel 36 (‘voorafgaande raadpleging’) van deze wet (‘Verordening’, 2016) geeft ook aan dat de gegevensverwerkende organisatie contact op moet nemen met de toezichthoudende autoriteit als blijkt dat de verwerking een hoog risico vormt en daarvoor geen passende maatregelen zijn genomen.

Privacy-gerelateerde data in SAP-omgevingen

Aansluitend op de wetgeving zijn diverse organisaties al bezig met het opzetten van programmateams voor het nalopen van de impact hiervan op dataopslag en gegevensarchitectuur. Dit soort trajecten vergen soms veel tijd, maar haast is geboden!

In SAP-systemen worden dagelijks, afhankelijk van de grootte van de organisaties, miljoenen transacties verwerkt. Diverse interfacesystemen die data-extractie van en naar SAP-systemen verrichten, kunnen ook veel persoonsgebonden data bevatten; denk maar aan NAW-gegevens van consumenten of medewerkersstamgegevens met onnodig veel datareplicatie. Om bijvoorbeeld artikel 17 van de wet te kunnen uitvoeren, dient een organisatie de hele keten te doorlopen om te bepalen waar welke persoonlijke data is vastgelegd.

Dit vergt een heel andere benadering voor het vastleggen van de persoonsgebonden gegevens. Is er ooit een opschoning geweest, of dient de organisatie eerst de opschoning uit te voeren? En hoe zorg je ervoor dat er niet onnodig nieuwe data (handhaving) wordt verzameld, vastgelegd en geraadpleegd. Worden gegevens ontsloten middels autorisatieschermen? Welke functionarissen dienen wel toegang tot persoonsgebonden data te hebben, en tot wanneer mag dat dataobject worden vastgelegd?

De Autoriteit Persoonsgegevens stelt een 10-stappenplan voor. Een van de stappen is het uitvoeren van het “Data Protection Impact Assessment”, oftewel DPIA. Het DPIA voor een SAP-omgeving zal minimaal van toepassing zijn om te achterhalen welke soort persoonlijke gegevens in welke omgeving worden vastgelegd.

Afsluiting en vervolg

Kortom: met de komst van AVG worden burgers beter beschermd, echter wordt het voor het bedrijfsleven minder makkelijk om met de gegevens van personen om te gaan. Welke stappen genomen dienen te worden per omgeving is afhankelijk van de volwassenheid van het ERP-systeem en de omliggende interfacesystemen. In mijn volgende blogartikel ga ik hier dieper op in.


Referenties:

  1. VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD (2016, April 27). Verkregen op 14 okt.’17 van: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf
  2. In 10 stappen voorbereid op de AVG, verkregen op 14 okt.’17 van: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf