Het hoge aantal deelnemers aan het ACEDS-webinar van vorige week "There is no Silver bullet to cover all GDPR requirements", toont aan dat er veel belangstelling is voor de nieuwe wetgeving die eind mei dit jaar van kracht wordt. De Q&A-sessie heeft ook geleerd dat mensen moeite hebben om te begrijpen wat ze echt moeten doen om in mei 2018 aan de vereisten van de nieuwe General Data Protection Regulation (GDPR), in het Nederlands Algemene Verordening Gegevensbescherming (AVG), te voldoen.
En terecht. De GDPR zal grote invloed hebben op de manier waarop bedrijven en overheidsorganisaties digitale informatie beheren bij het omgaan met informatie van burgers in de Europese Unie.
In het webinar (opname is hier beschikbaar) voorgezeten door Mary Mack, bespreken Kenneth Rashbaum en Johannes Scholtes wat organisaties kunnen doen om de meest beruchte GDPR-vereisten aan te pakken.
Geen wondermiddel
In weerwil van beweringen van sommige consultants en technologieleveranciers, bestaat er geen wondermiddel om aan alle GDPR-vereisten te voldoen. Om alle aspecten van de nieuwe verordening te verwezenlijken, is een multidisciplinair team nodig om een breed scala aan beleidsmaatregelen en procedures bij te werken. Het vereist een grondige evaluatie van alle interne systemen en technologieën die met gegevens te maken hebben. Het houdt ook een gedetailleerde herziening van uw contracten met derden in die namens u gegevens verzamelen, opslaan en beheren.
Dus geen wondermiddel. De nieuwe verordening bestrijkt te veel aspecten van gegevensbescherming, privacy en informatierechten. Maar er zijn veel dingen die organisaties kunnen doen om op zijn minst de meest beruchte GDPR-vereisten aan te pakken.
Verzamelen en opslaan van persoonlijke informatie
Het naleven van de GDPR betekent niet dat u geen persoonlijke informatie voor uw branche kunt verzamelen en opslaan. In vrijwel elke bedrijfstak is er een legitieme reden om persoonlijke informatie te verzamelen en op te slaan. Bijvoorbeeld bij gerichte klantendiensten en marketing en bij dienstverlening aan individuele en zakelijke klanten. Het is ook nodig voor naleving van de regelgeving (met name in de VS en Canada) en bij personeelszaken. Persoonlijk identificeerbare informatie (PII) is de levensader van het bedrijfsleven. Het is, zoals geïntroduceerd in The Economist, 'de nieuwe olie'.
Het sleutelwoord bij het opslaan en verzamelen van PII is "toestemming". Gebruikers moeten duidelijke, ondubbelzinnige toestemming geven aan bedrijven om hun gegevens te verzamelen en te gebruiken. De voor verwerking verantwoordelijken en verwerkers (controllers en processors) kunnen het alleen gebruiken voor het gedefinieerde doel. Voor specifieke soorten informatie heeft men zeer expliciete voorafgaande toestemming nodig. Een selectievakje "klik hier om akkoord te gaan" is geen optie voor deze informatie. Het intrekken van toestemming moet net zo eenvoudig zijn als het geven ervan. Gebruikers hebben het recht om te allen tijde de verwijdering van hun gegevens te eisen.
Machtiging tot ("voorafgaande toestemming") herziening van de inhoud en toestemmingbeheer zullen enkele van de grootste uitdagingen onder GDPR zijn. Het is verstandig van bedrijven om zeer selectief te zijn in welke gegevens ze verzamelen, zeer transparant te zijn in de redenen waarom ze die informatie verzamelen en te zorgen dat ze te allen tijde de controle houden over die gegevens.
Opschonen van oude archieven met PII
Dus wat te doen met bestaande gegevensverzamelingen die niet compatibel zijn met GDPR? De eenvoudigste oplossing zou zijn om dergelijke collecties weg te gooien. Als er geen relevante bedrijfsinformatie in deze archieven staat, zou dat geen probleem moeten zijn.
In werkelijkheid zijn maar weinig bedrijven bereid om hun archieven te vernietigen. Ze zijn niet in staat of geneigd om deze investering te doen. Vaak mogen ze de gegevens ook niet vernietigen vanwege vereisten rondom gegevensopslag en andere wettelijke en nalevingsredenen.
Een zeer praktische en kosteneffectieve oplossing is om de informatie te pseudonimiseren of anonimiseren na een zorgvuldige beoordeling. ZYLAB's ONE eDiscovery combineert geavanceerde zoek-, textmining-, autoclassificatie-, natuurlijke taalverwerking (NLP) en machine learning-technieken uit het veld van Artificial Intelligence om de informatie in de archieven te doorzoeken, en om na te gaan welke informatie kan worden vernietigd zonder schade toe te brengen aan de bedrijfs-, historische of wettelijke vereisten van die gegevens.
Geavanceerde tools voor redactie en pseudonimisering kunnen worden gebruikt voor het opruimen van oude archieven die vaak zijn onderworpen aan regelgevingsverzoeken of eDiscovery. Het opslaan van archieven in ZyLAB’s ONE eDiscovery SaaS-oplossing biedt u de beste bescherming die beschikbaar is, voor de meest kosteneffectieve prijs.
Veilige gegevensopslag in verschillende rechtsgebieden
ZYLAB's ONE eDiscovery SaaS-oplossing biedt veilige en gecodeerde gegevensopslag, optioneel in naleving van GDPR. Door gebruik te maken van de nieuwste beveiligings- en versleutelingsstandaarden, zal deze opslag van uw gegevens een veel kosteneffectiever alternatief zijn dan elke interne oplossing ook. Niet alleen voor gegevens onder de GDPR/AVG, maar ook onder de US-EU Privacy Shield-voorschriften.
ZyLAB ONE eDiscovery biedt datacenters in het rechtsgebied van uw keuze. Tegelijkertijd kunt u profiteren van de schaalvoordelen van een SaaS-oplossing en dure bronnen en software delen waar dit mogelijk en veilig is. ZyLAB ONE eDiscovery biedt tweefactorauthenticatie en versleutelde VPN-gegevenstoegang, zodat u en uw team vanaf elke locatie beveiligde toegang hebben.
Ook als u zich niet op uw gemak voelt met een SaaS-oplossing, kan ZyLAB exact dezelfde oplossingen bieden in een on-premises of private cloud-omgeving.
Probeer het zelf
Meld u aan voor een gratis proefaccount voor eDiscovery-software en ervaar ZyLAB ONE eDiscovery, de meest intuïtieve en geavanceerde eDiscovery-oplossing.