AMPLEXOR maakt GDPR principes standaard onderdeel van ECM/DXM implementaties en ziet in GDPR kansen voor economische groei. De OESO[1] Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (1980, herzien 2013[2]) vormen een belangrijke grondslag voor de GDPR. GDPR wordt vaak gezien als administratieve rompslomp, maar zou juist als kans gezien moeten worden.
Het merendeel van het groeiend aantal GDPR-gerelateerde publicaties beperkt zich tot de extra verplichtingen en beperkingen wat betreft persoonlijke data, terwijl de OESO-publicaties juist bedoeld zijn om economische groei te stimuleren. Voor ons beschrijft OESO hoofdstuktitel drie(1980)/vier(2013) exact wat GDPR zou moeten zijn: “Basic principles of international application: free flow and legitimate restrictions.” Met andere woorden: GDPR: GDPR is de ‘enabler’ van economische groei, mits juist ingericht. Oftewel: Maatschappelijk Verantwoord Ondernemen met Personal Data (MVO met PD).
Citaten
Twee treffende citaten uit de OESO publicatie:
“Member countries have a common interest in promoting and protecting the fundamental values of privacy, individual liberties and the global free flow of information.” 2013
“(…) to advance the free flow of information between Member countries and to avoid the creation of unjustified obstacles to the development of economic and social relations among Member countries.” 1980
Economische groei door MVO met PD
De claim dat GDPR economische groei kan stimuleren, willen we graag onderbouwen met de volgende voorbeelden:
Recht op data-portabiliteit: oftewel overdraagbaarheid van persoonsgegevens
De betrokkene, ook wel ‘data subject’ genoemd, heeft het recht om de persoonsgegevens die een organisatie (controller) van hem/haar verzameld heeft, op te vragen en te ontvangen. Hij/zij mag deze vrijelijk aan andere organisaties leveren. Hierdoor ontstaat onmiddellijk een juist klantbeeld en daardoor een betere dienstverlening. Door dit recht zijn klanten veel minder gebonden aan hun huidige leverancier. Hier kun je als organisatie en betrokkene van profiteren, een win-win dus.
Recht op inzage/correctie en transparante informatievoorziening
Een betrokkene heeft het recht om te controleren of een leverancier verantwoord met zijn/haar persoonlijke data omgaat. Deze openheid zal er echter ook voor zorgen dat consumenten zich vooral zullen gaan richten op partijen die ze vertrouwen. De grote partijen als Google, Twitter en Facebook hebben goed begrepen dat vertrouwen een belangrijke randvoorwaarde wordt van de consument in de komende jaren en zijn hierop voorbereid. Ze informeren hun klanten proactief over hoe ze met persoonlijke data omgaan. Tegelijkertijd bieden ze de mogelijkheid om aanpassingen te maken in de hoeveelheid persoonlijke data die de betreffende partijen van je gebruiken. Europese partijen zijn op dit moment nog niet zo ver in het verkrijgen van het klantvertrouwen. Dit biedt natuurlijk wel kansen om je als organisatie te onderscheiden van je concurrentie.
Standaardisatie van het gebruik van Personal Data in de gehele Europese Unie
In het pre-GDPR tijdperk diende ieder bedrijf terdege rekening te houden met de verschillen per land of regio. Door de standaardisatie van deze regels wordt grensoverschrijdende groei gestimuleerd en minder risicovol.
AMPLEXOR – MVO met PD in onze genen
AMPLEXOR levert digitale oplossingen voor documentbeheer/collaboratie (ECM: enterprise content management) en marketing-gedreven communicatie (DXM: digital experience management). Onze diensten variëren van software-implementatie en -integratie, tot beheer en managed services. Vanuit dit dienstenaanbod is GDPR logischerwijs een belangrijk aandachtspunt. Denk bijvoorbeeld aan het beheer van privacygevoelige gegevens in digitale dossieroplossingen (medische dossiers, HR-dossiers enzovoort). In onze visie worden ECM/DXM-projecten altijd gecombineerd met de principes van GDPR zoals privacy by design/default. Grote kansen zien we door accountability te integreren bij elke ECM/DXM-implementatie. Accountability is een verplichting vanuit de GDPR, maar de wijze waarop wordt niet voorgeschreven. Door vanuit de ECM/DXM-applicatie automatisch de gegevens in het kader van accountability vast te leggen – in plaats van het te beleggen bij de juridische afdeling – bespaar je veel administratieve rompslomp en waak je automatisch over de kwaliteit van de opgeslagen data.
In het begin van het Records Management tijdperk werd van de gebruiker gevraagd om documenten als record op te slaan. Hierbij werd zelfs gevraagd welke bewaartermijn gekoppeld moest worden. Het ECM systeem maakt automatisch een record aan op het moment dat een document de status ‘Definitief’ heeft. Hierdoor wordt de gebruiker ontlast en de kwaliteit van het archief verbeterd. Ditzelfde principe hanteert AMPLEXOR ook voor de verantwoordingsplicht binnen de GDPR. Zorg ervoor dat het systeem volledig automatisch de benodigde gegevens vastlegt die nodig zijn in het kader van accountability.
Een goede GDPR-journey richten zich op een digitaal duurzame aanpak. Het moet meer zijn dan rule driven compliance. Dat betekent geen inrichting van inefficiënte bureaucratische processen naar de letter van de wet, maar evenwichtige bedrijfsprocessen die volgens de intentie van de GDPR zijn ingericht.
Blue prints
AMPLEXOR richt zich op ECM/DXM-systemen met een privacy by design/default visie en geïntegreerde accountability. Daarin blijft een samenwerking met andere partijen binnen het GDPR-speelveld belangrijk, bijvoorbeeld met Security- en Data-mining/eDiscovery specialisten, DPO’s en Juridische adviseurs. We werken nauw samen met deze partijen, om compliancy te garanderen en continu te verbeteren. Hiervoor hebben we een set aan blue prints ontwikkeld, die ons in staat stelt om GDPR-principes te bespreken bij de implementatie van bedrijfsprocessen. Deze worden aangevuld met een aantal nieuwe GDPR-specifieke processen die een bedrijf moet inrichten en die meestal een extra ECM/DXM-proces vereisen. Denk hierbij aan het datalekkenproces, waarbij de GDPR voorschrijft dat een datalek minimaal binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld moet worden en mogelijk ook bij alle betrokkenen. We adviseren om deze processen proactief in te richten, Ons proces blue prints is toepasbaar op vele processen binnen de ECM/DXM-implementaties. Denk aan 1) het standaard beschikbaar hebben van de nodige templates voor het opvragen, wijzigen en weergeven van alle persoonsgegevens in elk DXM-implementatietraject en 2) de meldings-/klachtenprocedure voor een data subject in verband met datalekken bij je DPO en dit via verschillende kanalen. De blue prints zijn waardevolle discussiestarters, die tot besluiten leiden rondom de de inrichting van de ECM/DXM-systemen.
Er is een whitepaper in de maak van de AMPLEXOR visie en blue prints. Deze komt binnenkort beschikbaar op www.amplexor.com/GDPR.
De auteurs zijn beiden werkzaam bij AMPLEXOR. Tim Vernaillen is Sr. Consultant ECM/DXM en Marco van Schaijk is Manager PS ECM/DXM.
[1] OESO Organisatie voor Economische Samenwerking en Ontwikkeling
[2] zie http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm
