KPMG en Indica: GDPR: Verander de kostenpost in kostenbesparingen en businessgroei

De General Data Protection Regulation (GDPR) is bedoeld om de data van burgers te beschermen. Dan moet je wel volledig inzicht hebben in welke data waar staat en wat je er mee mag doen. Maar als je dat eenmaal weet en de kwaliteit van de data wordt op orde gesteld, kun je de data gaan benutten om als organisatie goede beslissingen te maken en daarmee succesvol te zijn. KPMG en Indica hebben de handen ineen geslagen om dat voor elkaar te krijgen.

 

Johan van Duijn, manager Data Privacy van KPMG Cyber, en René Oldenbeuving, CEO van Indica, onderstrepen het belang van de GDPR (of Algemene Verordening Gegevensbescherming (AVG) in Nederland). Zij wijzen erop dat elke organisatie zorgvuldig met data dient om te gaan en moet voorkomen dat data van klanten op straat komt te liggen (met als gevolg reputatieschade en eventueel een fikse boete). Van Duijn voegt daaraan toe: “Dankzij deze regelgeving komen organisaties er ineens achter dat zij beschikken over data waar zij eigenlijk zelf geen eigenaar van zijn. Mensen kunnen bijvoorbeeld ‘Het recht om vergeten te worden’ opeisen. Maar dan moet je als organisatie wel weten welke data je allemaal in de systemen hebt zitten. Bovendien gaat het niet alleen over gestructureerde data, maar ook over ongestructureerde data, waaronder zelfs foto’s. En dan heb je het over de bulk van alle data die bedrijven hebben. Uit de praktijk blijkt dat de meeste organisaties geen idee hebben welke data ze allemaal hebben en waar die is opgeslagen.”

eDiscovery

Johan van Duijn en Rene Oldenbeuving

Hier komt Indica GDPR Insight, de oplossing van Oldenbeuving in beeld. “Wij hebben een eDiscovery-oplossing ontwikkeld: software waarmee we binnen het netwerk van een organisatie alle data in kaart kunnen brengen. Ook als deze data bij cloudaanbieders is ondergebracht. Wij zien welke data iemand in zijn eigen datacenter heeft opgeslagen, wat er op zijn servers staat, maar ook wat op endpoints staat en natuurlijk wat in de cloud is ondergebracht. Dat gaat heel ver. Als er op een foto iemand staat met een T-shirt waarop tekst is weergegeven, dan weten wij dat te achterhalen. Wanneer het is opgeslagen. Waar er mogelijk duplicaten bestaan.”

Hij vertelt dat ook de aard van de data in beeld komt: of het een platte file is, een Excel-sheet, een Word-bestand, een record uit een CRM- of ERP-systeem; de zoekfunctie van Indica is zeer krachtig . Indica maakt namelijk een index van alle gegevens. “Ook zie je welke data nog benut wordt”, legt Oldenbeuving uit.

Databeheer

Het vierjarige Nederlandse bedrijf Indica en KPMG werken al langer met elkaar, maar met de invoering van GDPR hebben ze een gezamenlijke GDPR Insight Module en service in het leven geroepen. Indica zorgt ervoor dat geen enkele bit binnen de bedrijfssystemen aan de aandacht ontsnapt. KPMG zorgt ervoor dat de kennis over de data tot in de diepste krochten van het netwerk is om te zetten naar verbetering van de bedrijfsvoering. “Met de komst van de nieuwe regelgeving moet een bedrijf er alles aan gelegen zijn om zorgvuldig met persoonsgegevens om te gaan en te beveiligen”, zegt Oldenbeuving. “Al is het alleen maar om aan een boete te ontkomen en om klanten en partners niet teleur te stellen. Maar je kunt er zoveel meer mee doen als je eenmaal weet over welke data je beschikt en waar die staat. Met Indica kun je de benodigde regels en logica voor de data daadwerkelijk gaan toepassen. Je kunt data classificeren en eindelijk aan databeheer gaan doen zoals het toepassen van bewaartermijnen en de kwaliteit van data te beheren. Maar ook maak je het gebruik van data inzichtelijk waardoor je data die altijd direct beschikbaar moet zijn op snel toegankelijke media kan gaan zetten; data die minder vaak nodig zijn op servers die je maar af en toe raadpleegt en data die nauwelijks wordt gebruikt kunnen wellicht naar een digitaal archiefsysteem. Daarmee alleen al bespaar je geld.”

Toekomst

Veel CEO’s menen dat data de toekomst vormt voor hun bedrijf, zo weet Van Duijn. “Maar dan moet je dat eerst wel inzichtelijk hebben. Bovendien moet je zorgen dat je data eenduidig en foutloos is. Veel data is in de loop der jaren vervuild geraakt of onnodig. Namen kloppen niet altijd, BSN-nummers wijken af, adresgegevens zijn gewijzigd. Vaak door onnodige data niet te verwijderen, zie je al door de bomen het bos niet meer. Dat komt nu nog bij bijna iedere organisatie voor en kan tot grote fouten en dus kosten leiden. Organisaties doen er goed aan GDPR aan te grijpen om hun datalandschap op te schonen.”

‘In de praktijk blijkt al te vaak dat in de werkelijkheid het datalandschap weerbarstiger is’

Als eenmaal data-governance-principes zoals herkomst, kwaliteit, doel en bewaartermijnen goed op orde zijn, kunnen waardevolle data-analyses worden uitgevoerd. Uit diverse onderzoeken blijkt dat organisaties die data-driven beslissingen maken succesvoller zijn.

“Een organisatie moet voor de GDPR een ‘verwerkingsregister’ hebben. Hierin neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Indica biedt de mogelijkheid verschillende regels van een verwerkingsregister te digitaliseren en te valideren met het daadwerkelijke datalandschap. In de praktijk blijkt al te vaak dat op papier het verwerkingsregister er brandschoon uit ziet, maar in de werkelijkheid het datalandschap weerbarstiger is”, zegt Van Duijn.

Ist-Soll-model

Beide heren spreken van het Ist-Sollmodel. Dat gaat om het vaststellen van de gewenste situatie (soll) en het waarnemen van de werkelijkheid (ist). “Onze module helpt om ist en soll te laten samenvallen. We zien dat veel organisaties niet verder zijn gekomen dan een papieren tijger.

Deze organisaties lopen meestal nog grote privacy-risico’s. Het beschreven beleid wordt vaak maar minimaal toegepast. Bij organisaties waar wij Indica voor het eerst hebben aangesloten, vinden we vrijwel altijd meer gevoelige data dan dat de klant verwacht had, en beschreven beleid zien we ook niet terug in het datalandschap.” In plaats van alleen een papieren tijger op te tuigen, is het van belang de daadwerkelijke privacy-risico’s aan te pakken en het databeheer met benodigde geautomatiseerde logica te gaan toepassen. “Iedere organisatie waarbij data een steeds belangrijkere rol speelt, zullen met deze vervolgstappen in de nabije toekomst succesvoller zijn.”

Zelf beheren

De eerste indexering van de data via Indica duurt even, maar daarna is het een kwestie van ’s nachts bijhouden. “Wij helpen bedrijven hun data in kaart te brengen en de tool in te zetten naar de specifieke wensen en omstandigheden van de organisatie. KPMG-consultants helpen hierbij met hun datamanagement en privacy-expertise. Zij helpen door benodigde datalogica in Indica te configureren en stappen te zetten in de opschoning van de data. Daarnaast helpt KPMG organisaties om hun data-governance verder vorm te geven. Indica heeft een dashboard en workflows ontwikkeld om eenvoudig databeheer te kunnen doen. Het is niet ons doel om dat zelf te blijven doen; uiteindelijk moeten daartoe getrainde mensen binnen een organisatie zelf de data gaan onderhouden.” Op zichzelf is de discussie over data- vervuiling niet nieuw. Bij implementatie van systemen voor business intelligence speelt dit immers ook. Wie rommel in een datawarehouse stopt, krijgt er andere rommel voor terug. Nieuw is dat de AVG forse straffen in het vooruitzicht stelt als je data niet fatsoenlijk beheert. Een stok achter de deur om gegevens op orde te brengen. “Het continue indexeren en dus monitoren van de data is daar ideaal voor”, besluit het tweetal.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine, nummer 8]

Lees het artikel hier in PDF