Samenvatting McKinsey Podcast over GDPR implementatie

By augustus 2, 2018 maart 21st, 2019 NL

Lees hieronder een korte samenvatting door OptInsight van een McKinsey podcast over de stand van zaken met betrekking tot GDPR implementatie.

 

Ieder bedrijf zit in de privacy-business

Ieder bedrijf zit in de privacy-business. In welke business u ook actief bent, of u het leuk vindt of niet.

Persoonsgegevens

In het verleden dachten we dat persoonsgegevens beperkt was tot naam, adres, en BSN-nummer. Tegenwoordig wordt er ook veel info verzameld over gedrag, transacties en gebruiken we zelf complexe data analytics methoden om informatie te verkrijgen over personen.
We schatten in dat veel managers nu pas grip beginnen te krijgen over de operationele consequenties van deze verwerking.

GDPR vereist structuur en discipline

De GDPR dwingt organisaties structuur en discipline aan te brengen in wat persoonsgegevens zijn, waar het wordt verwerkt en geeft betrokkenen, de personen, meer de regie en beheersing over hun persoonsgegevens, zodat zij zelf kunnen besluiten of uw organisatie het mag verwerken en over hoe u het mag verwerken.

Rechten personen

De operationele gevolgen van de controle over de persoonsgegevens die bij de betrokkenen is neergelegd zijn ongeëvenaard. Zij hebben rechten om de data te laten verwijderen, rechten om in te zien welke persoonsgegevens de organisatie verwerkt en ze hebben het recht om hun persoonsgegevens over te laten dragen. 

Rechtvaardiging van de verwerking

Één van de meest uitdagende verplichtingen voor organisaties is om inzichtelijk te hebben of ze gegevens mogen verwerken, waarom ze deze gegevens verwerken en waar ze deze data verwerken. Verwerken organisaties gegevens omdat ze een wettelijke plicht hebben, bijvoorbeeld voor fiscale redenen of voor andere wettelijke grondslagen? En wanneer moeten persoonsgegevens verwijderd worden om de duur van de verwerking te beperken.

Doelbinding

GDPR verplicht organisaties de betrokkenen te informeren over de reden van verwerking van hun persoonsgegevens en organisaties moeten daarvoor een legale reden (rechtvaardiging of grondslag) voor hebben. Wanneer de organisatie de gegevens hebben verwerkt een bepaald doel, mogen zij de persoonsgegevens niet voor andere doeleinden gebruiken. Bijvoorbeeld persoonsgegevens voor het openen van een bankrekening mogen niet voor marketingdoeleinden en andere zaken gebruikt worden.

DPO en het privacy-team

Binnen de organisatie moeten de implicaties van GDPR worden uitgevoerd bij DPO en het privacy-team, dat moeten een team zijn dat in de gehele organisatie met allerlei disciplines samenwerkt. Dit kan niet door één individu, de DPO alleen gedaan worden.

Big Data en AI (on)mogelijkheden

Er zijn heel wat data-science communities zenuwachtig geworden die gewend waren om grote hoeveelheden gegevens te verzamelen en daar hun creativiteit en modellen op los te laten. Organisaties nu dienen inzichtelijk te maken wat hier nog van is toegestaan onder GDPR. Er moeten nieuwe controls worden ingericht rondom de AI modellen.
Een van de meest voor de hand liggende maatregelen is om de gegevens te maskeren en te anonimiseren alvorens er tot analyse wordt overgegaan. Als je dit goed doet hoef je betrokkenen ook niet van tevoren te informeren.
McKinsey ziet ook allerlei mogelijkheden voor AI, zoals het identificeren van persoonsgegevens, het structureren (cleansing) van de gegevens en het maskeren en anonimiseren van de persoonsgegevens.

Consent

Veel organisaties stellen de toestemmingsparagraaf in de privacy-verklaring zeer breed op. Daarbij bestaat het risico dat de betrokkene geen toestemming verleend. Dan zeggen ze feitelijk Nee tegen het verwerken van mijn persoonsgegevens, we willen dat de organisatie alle persoonsgegevens verwijdert die jullie over mij verwerken. Er zijn nog niet veel organisaties die precies weten hoe ze hier mee om moeten gaan. Zij zullen dan precies inzichtelijk moeten hebben waar de persoonsgegevens zijn opgeslagen, in welke systemen ze worden verwerkt en hoe zij deze verwerkingen kunnen rechtvaardigen.

Wilt u hulp bij de beheersing van uw GDPR verplichtingen?

Neem contact op

Beluister hier de volledige podcast.

Leave a Reply