7 essentiële stappen voor meer grip op het gebruik van persoonsgegevens binnen je organisatie

De afgelopen jaren is het gebruik van persoonsgegevens binnen bedrijven sterk toegenomen. Of het nu gaat om klantdata of medewerkersdata, het is van groot van belang dat de verantwoordelijke van de data exact weet welke data voor welk doel wordt verwerkt. Door de exponentiële toename van data is het voor organisaties een steeds grotere uitdaging om controle te houden over het gebruik van deze gegevens.

Hoe zorg je ervoor dat je meer grip krijgt op het datagebruik binnen jouw organisatie? Welke middelen zijn hiervoor beschikbaar en hoe richt je de bijbehorende processen in? Meer grip op het gebruik van data binnen jouw organisatie begint me het implementeren van een aantal basisvoorzieningen.

7 stappen in de route naar meer grip op datagebruik

1. Maak beleid en toets voorgenomen gebruik (Data Governance)

Meer grip op datagebruik begint met beleid waarin de (spel)regels worden vastgelegd. Het inregelen van deze Data Governance geeft antwoord op vragen zoals; waar mag welke data voor worden gebruikt en onder welke voorwaarden? Om de naleving van het beleid te toetsen en om voorgenomen datagebruik te beoordelen kan een Data Usage Board (een commissie om datagebruik te beoordelen) worden ingericht.

2. Krijg inzicht in welke data je in huis hebt (Data Discovery)

Wat voor soort klantdata hebben we verzameld en opgeslagen? Welke gevoelige data hebben we en waar bevindt deze data zich? Welke data van onze medewerkers leggen we vast en waar hebben we deze data voor nodig? Efficiënt datagebruik begint bij inzicht en overzicht van de verzamelde data.

3. Zorg voor eigenaarschap (Data Ownership) 

Ondanks de grote waarde van data is er in tegenstelling tot IT-systemen en Business processen meestal geen verantwoordelijke aangewezen voor data binnen een organisatie. Door eigenaarschap voor data toe te bedelen, wordt de verantwoordelijkheid voor het gebruik gewaarborgd en wordt het up-to-date houden van de kwaliteit van de data bewaakt.

4. Label je data (Data Classification)

Door data naar waarde te classificeren volgens het BIV-model (Beschikbaarheid, Integriteit en Vertrouwelijkheid) kan er een bepaald label aan data worden toegekend. Doordat data is gelabeld kan veel nauwkeuriger worden bepaald welke beveiligingsmaatregelen noodzakelijk zijn.

5. Bepaal en implementeer bewaartermijnen (Data Retention)

Bepaal per type data de bewaartermijn en implementeer deze in alle systemen waarin de data wordt opgeslagen en gearchiveerd. Het inrichten van een housekeepingproces zorgt voor jaarlijkse naleving van de bepaalde bewaartermijnen.

6. Zorg voor adequate security- en autorisatiemaatregelen (Data Security)

Afhankelijk van het soort data en de toegekende waarde zoals gevoeligheid en vertrouwelijkheid is het van belang om passende security- en autorisatiemaatregelen te nemen. Dit kunnen technische maatregelen zijn (zoals het versleutelen van data) of organisatorische maatregelen (zoals het opstellen van instructies en geven van trainingen).

7. Beperk indirecte herleidbaarheid van persoonsgegevens (Pseudonymisation)

Zeker voor analysedoeleinden is het lang niet altijd noodzakelijk om exact te weten wie het individu achter de (gedrags-)data is. Het pseudonimseren van persoonsgegevens beperkt de herleidbaarheid en zorgt voor extra bescherming in geval van een data lek.

Geen grip op datagebruik leidt vroeg of laat tot ongeautoriseerd gebruik, of erger nog, het verlies van waardevolle data met alle gevolgen van dien. Grip op data is dus geen ‘nice to have’ maar van groot belang voor het zorgvuldig omgaan met de gegevens van je klanten en medewerkers. Voorkomen is beter dan genezen, dus start vandaag!

Auteur

Patrick van den Bos