Hoe de AVG een concurrentievoordeel kan worden

De AVG, de nieuwe Europese privacywet die ook bekend is onder de naam GDPR, is meer dan het afvinken van een checklist om compliant te worden. Met een slimme datastrategie en de juiste ondersteunende technologie kun je na 25 mei het verschil maken bij je klanten, medewerkers en andere stakeholders.

Het is een heel natuurlijk reactie – de deadline van de privacywet nadert, dus je bent als organisatie bezig met die heilige datum en wat er moet gebeuren om zoveel mogelijk aan de regels te voldoen. Je staat onder tijdsdruk en maakt daarom gebruik van bestaande technologie, en die is veelal zo basaal als Excellijsten of een Sharepointomgeving. Misschien is er zelfs een awareness campagne gelanceerd om medewerkers mee te krijgen in de nieuwe privacymindset. Kortom, je hebt nagedacht over hoe je de AVG/GDPR zo snel mogelijk kan invoeren maar minder over hoe je waarde kunt toevoegen op grond van customer centricity en hoe je na 25 mei de persoonsgegevens van klanten blijvend gaat beschermen.

Wanneer doe je genoeg?

Bij compliancevraagstukken is het altijd ingewikkeld om te bepalen wanneer je als organisatie genoeg doet. De glazenbolvraag is hoeveel verzoeken tot inzage, correctie en vergetelheid bedrijven zullen krijgen. Daar moet je binnen een redelijke termijn aan kunnen voldoen, wat in de praktijk dertig dagen is. Technologie kan het missende puzzelstuk zijn, om aantoonbaar en continu grip op de privacy te krijgen en te houden.

Technologie ondersteunt de organisatie niet alleen maar helpt ook bij het inzichtelijk maken van hoe je omgaat met de AVG/GDPR en het maakt je organisatie wendbaarder. Eenvoudig is het niet om de keuze te maken wat je nodig hebt; er zijn heel veel tools op de markt die uiteraard allemaal worden gepositioneerd als de zilveren kogel. Bepaal eerst wat je als organisatie moet kunnen doen en welke eisen dat stelt aan een technologische oplossing, Waar heeft het op dit moment het meest zin om technologie in te zetten? Als je die analyse hebt gemaakt, heb je een referentiearchitectuur met de onderliggende eisen en kun je de juiste oplossingen selecteren.

Vier strategische elementen

Vanuit onze wereldwijde ervaring met organisaties voorbereiden op de AVG/GDPR zien we vier digitale componenten die van belang zijn in een goede AVG/GDPR-, klanten- én datastrategie:

• Data discovery

Data discovery tools helpen je niet alleen om te voldoen aan de AVG/GDPR maar geven ook geautomatiseerd inzicht in de kwaliteit van je data en eventueel benodigde aanvullingen. Je weet welke data je hebt, waar privacygevoelige informatie is opgeslagen en wie daartoe toegang hebben. Dit inzicht is ook nuttig voor data governance in brede zin, naast data privacy en verwerking van persoonsgegevens. Hiermee kun je meer waarde halen uit de data die je hebt en de klant echt centraal zetten.

• Identity & access management: klanten

Een bedrijf dat persoonlijke data wil verwerken, heeft daarvoor een wettelijke grondslag nodig. Oftewel: je moet kunnen aantonen dat het nodig is dat je persoonlijke gegevens gebruikt en opslaat. Een daarvan is consent – klanten geven toestemming om data te verzamelen. Dat kun je regelen met behulp van identity & access management technologie. Wat zou het mooi zijn als je klant inlogt op een portaal en daar inzicht heeft in zijn of haar gegevens en zelf bepaalde wijzigingen kan doorvoeren. Je klanten staan op deze manier aan het roer van de relatie met je organisatie. Hier zijn meerdere technologieën voor. Door de data discovery tool te koppelen aan de identity & access management oplossing behaal je het beste resultaat. Op die manier kun je namelijk data uit verschillende systemen koppelen aan de bijbehorende klant. Die informatie betekent weer dat je klantprofiel van hogere kwaliteit is en je daar je dienstverlening op kunt afstemmen. AVG/GDPR-compliance leidt er dus toe dat je waarde kunt toevoegen aan je klantstrategie

• Identity & access management: medewerkers

Dit is hetzelfde concept als hierboven beschreven bij de klant. Medewerkers beschikken binnen het bedrijf over een omgeving waar ze alle gegevens kunnen inzien rond hun salaris, pensioen, et cetera. Ze kunnen bepaalde gegevens zelf wijzigen of krijgen te zien met wie ze contact op moeten nemen om dat te doen. Belangrijk is dat je de toegang tot data goed inregelt – wie mag bij welke gegevens, hoe controleer je die toegang en hoe verwijder je de rechten als medewerkers iets anders gaan doen?

• Privacy governance dashboard

Verwacht wordt dat je continu grip hebt op de data. Dat kun je handig inzichtelijk maken met behulp van een privacy governance dashboard. De privacy officer open zijn dashboard ’s ochtends en ziet waar de organisatie staat en wat verbetering behoeft, maar ook hoeveel datalekken er zijn gemeld, wat het risiconiveau is en hoe die zijn afgehandeld. Dit dashboard richt je in met concrete KPI’s zodat je de privacyvolwassenheid van het bedrijf meetbaar maakt.

Kijk verder dan alleen compliance

In een notendop: kijk wat je doet aan privacy en wat er al aanwezig is aan technologie. Wat zijn de logische volgende stappen? Als je het antwoord op die vraag weet, kun je gericht investeren in technologie – niet alleen om AVG/GDPR-compliant te zijn maar juist ook om breder je data- en klantenstrategie vorm te geven. Oftewel, benader de AVG/GDPR niet alleen vanuit compliance maar ook vanuit data governance en klantperspectief. Organisaties die daar goed over nadenken hebben straks na 25 mei een groot concurrentievoordeel en hun privacy officer zal een stuk geruster slapen.