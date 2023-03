Technologie helpt zonder enige twijfel bij het aanpakken van de uitdagingen die dataprivacy met zich meebrengt. Het is echter geen silver bullet. Om dataprivacy echt goed aan te pakken, moeten er ook andere stappen gezet worden. Welke dat zijn, bespreken we met vijf experts tijdens een geanimeerd rondetafelgesprek.

Dataprivacy was lange tijd een thema dat wat achterliep bij andere ontwikkelingen. Dat wil zeggen, het stond van oudsher niet zo hoog op de lijst met prioriteiten van organisaties. Met de komst van de GDPR/AVG-wetgeving vanuit de Europese Commissie veranderde dit. Organisaties moeten er tegenwoordig wel meer aandacht aan besteden, omdat ze minimaal compliant moeten zijn aan die wetgeving. Er zijn dus behoorlijk wat stappen in de goede richting gezet, met name sinds de invoering van GDPR in mei 2018.

De wereld van dataprivacy verandert echter ook iedere dag, dus het is zeker niet zo dat je het eenmalig inricht en er dan verder niet meer naar om hoeft te kijken. Het is met andere woorden dus ook zaak om dataprivacy hoog op de lijst te houden. Dat is niet altijd even eenvoudig. Het leek ons dan ook een goed idee om het eens wat uitgebreider over dit onderwerp te hebben tijdens een goed rondetafelgesprek.

Aan tafel zitten vertegenwoordigers van vijf tamelijk uiteenlopende bedrijven: Cloudian, Deloitte, Netskope, Privacy Specialist BV en Zivver. Dit is een wat ons betreft interessante mix van een grote speler (Deloitte), relatief jonge en snelgroeiende internationale spelers (Cloudian en Netskope) een Nederlandse IT-leverancier (Zivver) en een Nederlands consultancy en adviesbedrijf op het gebied van privacy (Privacy Specialist BV). Voor Cloudian schuift Vincent van der Linden aan, Deloitte wordt vertegenwoordigd door Jan-Jan Lowijs, Netskope door Mike Remmerswaal, Privacy Specialist BV door Lynn Molendijk en Zivver door Rick Goud.

TIP: We hebben ook een compilatievideo gemaakt van deze rondetafel, waarin alle deelnemers aan het woord komen. Je krijgt via deze video een goed beeld van wat er besproken is.

Hoe staan organisaties ervoor?

De invoering van de GDPR-wetgeving in mei 2018 zal niemand zijn ontgaan. Er werd toen in ieder geval heel veel ruchtbaarheid aan gegeven. Het effect van de wetgeving op de markt is er ook zeker, geeft Molendijk, eigenaar van Privacy Specialist BV, aan: “Veel organisaties hebben best een goede stap gezet om compliant te zijn.” Om hier ook meteen aan toe te voegen dat het lastig is om dit continu en consequent te kunnen stellen. “Dingen veranderen iedere dag, het blijft uitdagend om er goed zicht op te houden en een duurzaam veilige organisatie te borgen”, stelt ze.

Vincent van der Linden, Regional Sales Director bij Cloudian

Van der Linden, Regional Sales Director bij Cloudian, ziet ook dat het speelt. Dataprivacy is een van de redenen waarom klanten voor Cloudian kiezen en hij ziet het aantal klanten groeien. Ook hij ziet echter dat er wat haken en ogen aan zitten. “Het is toch ook het verplicht afvinken van een lijstje”, constateert hij. Hij ziet een parallel met DR-plannen. Die zijn er vaak wel, maar niemand weet of ze werken, omdat niemand het test. Dat is met dataprivacy ook het geval. Deels is dat het gevolg van een gebrek en kennis en kunde binnen organisaties. De IT-afdeling moet het tot op zekere hoogte coördineren, maar moet dat natuurlijk wel kunnen.

Vinkjes is ook iets wat Remmerswaal, Director Channel Solutions Engineering EMEA & LATAM bij Netskope ziet. Hij heeft het dan specifiek over de vinkjes die leveranciers moeten kunnen zetten in aanvragen die binnenkomen. Dat was voor de komst van GDPR niet het geval, stelt hij. “Zo’n vijf, zes jaar geleden schrokken organisaties wakker, en realiseerden ze zich dat ze iets met dataprivacy moesten”, vat hij het samen. Vragen zoals ‘blijft data binnen de regio?’ zijn nu ook steeds vaker onderdeel van RFP’s. Er is echt iets fundamenteel veranderd.

Goud, die als eigenaar en oprichter van Zivver al sinds 2015 met dataprivacy bezig is, ziet op zich ook wel een positieve ontwikkeling. Hij benadrukt echter wel dat het vooral om het laaghangende fruit gaat dat nu aangepakt wordt. Denk hierbij aan het doen van een DPIA (Data Protection Impact Assessment). Dat is toch een van de basisbeginselen als je het over dataprivacy hebt. Binnen overheden benoemt hij expliciet de BIO, oftewel de Baseline Informatiebeveiliging Overheid als een voorbeeld van dergelijk laaghangend fruit. Dit was nodig, want “veel overheden kwamen ermee weg door te zeggen dat ze moesten starten met classificatie en dat ze nog aan het nadenken waren over hoe ze dat gingen doen”, aldus Goud. Dat zorgde ervoor dat er nooit echt iets gebeurde.

Goud ziet echter wel nog dat er vooral veel op papier staat, maar dat het daar nog niet echt goed vanaf komt. Dat wil zeggen, er zijn inmiddels wel normenkaders en dergelijke, maar hoe ga je in de praktijk met gevoelige informatie om. “Geen enkele eindgebruiker gaat bij ieder bericht aangeven hoe het geclassificeerd moet worden”, maakt hij het concreet. Er moet dus een oplossing voor komen die dit kan doen voor organisaties.

Lowijs is zich als Director Privacy & Digital Ethics bij Deloitte ook bewust van deze papieren werkelijkheid. “Er is een team opgericht, niet alles ligt meer bij enkel een privacy officer die af en toe iets mag roepen”, stelt hij. Deloitte ziet dat in de eigen dienstverlening overigens ook. De privacy-afdeling van het bedrijf bestaat inmiddels uit zo’n 65 mensen. Naast deze papieren werkelijkheid ziet Lowijs ook een verschuiving in het denken binnen bestuurskamers. De perceptie van een organisatie bij klanten gaat ook een rol spelen, niet meer alleen het compliant zijn.

Bewustwording van complexiteit

Het feit dat er nog wel het nodige te winnen valt op het gebied van dataprivacy is op zich niet zo heel raar. De wereld waarin organisaties tegenwoordig zakendoen is namelijk complex en deze wordt steeds complexer. Organisaties zetten steeds meer en nieuwere technologie in om te innoveren. “Als je continu bezig bent om innovatie te zoeken, dan kan privacy weleens naar de achtergrond verdwijnen”, merkt Van der Linden in dit opzicht terecht op. “Je wisselt nu ook veel meer data uit met externe partijen dan voorheen. G-Suite, Office 365, Salesforce, dat zijn allemaal bronnen waar je rekening mee moet houden.”

Technologie alleen gaat organisaties niet de oplossing bieden. Goud stelt dat we “tegen de grenzen van de technologie aanlopen”. Er moet meer privacybewustzijn komen, is hij van mening. Op die manier kunnen we de kracht van technologie en mensen aan elkaar koppelen. Het is namelijk erg ingewikkeld om de gevoeligheid van specifieke data te snappen als je deze koppeling niet maakt. Daarnaast moet er ook vanuit organisaties bewustwording komen dat medewerkers niet voor niets aan de slag gaan met een applicatie die ze eigenlijk niet mogelijk gebruiken. “Niemand gebruikt een applicatie omdat hij dat leuk vindt, kennelijk werken de andere applicaties gewoon niet goed genoeg”, vat hij het probleem samen.

Gebruiksvriendelijkheid speelt een belangrijke rol binnen dit bewustwordingsproces. Molendijk schetst dan ook een ideale droomwereld, “waarin je een medewerker hebt die volledig ontzorgd wordt en op een heel gebruiksvriendelijke manier zijn werk uit kan voeren, het liefst vanuit een applicatie die tegelijkertijd aan alle privacyvereisten voldoet”. En dat is nu precies waar het schoentje wringt. “Organisaties gebruiken te veel dingen naast elkaar, terwijl ze wel verwachten dat een medewerker het allemaal snapt”, stelt Goud. Van der Linden voegt hier nog aan toe dat organisaties ook vaak verwachten dat medewerkers overal continu bij moeten kunnen. Die twee dingen samen zorgen er onder andere voor dat je behoorlijke privacyproblemen kunt krijgen.

Veilig nooit zo makkelijk als onveilig

Op dit punt in de conversatie kom Goud met een interessante stelling: “Mensen willen echt wel veilig werken, maar het moet wel een beetje goed kunnen.” Om hieraan toe te voegen dat “veilig werken nooit zo gemakkelijk gaat zijn als onveilig werken”. Niet iedere organisatie heeft echter dezelfde balans tussen veiligheid en gebruiksvriendelijkheid. Met andere woorden, de risico’s zijn voor verschillende organisaties verschillend. Er is dan ook geen magische IT-oplossing die je kunt aanschaffen en inzetten. Op dit punt gaat het volgens Goud echter wel vaak mis. Vaak beginnen organisaties aan de oplossing voor hun privacyvraagstukken bij de technologie. “Dat zou echter juist het sluitpunt moeten zijn, niet het startpunt”, geeft Goud aan.

Jan-Jan Lowijs, Director Privacy & Digital Ethics bij Deloitte

Als het gaat om de risico’s die een organisatie loopt op het gebied van privacy, dan zijn dat er nogal wat. Lowijs somt er enkele op: “Datalekken, data gebruiken die je niet mag gebruiken, risico’s rondom dataretentie en niet weten welke data je hebt.” Welke van deze het grootste risico met zich meebrengt, is niet eenvoudig te stellen. Overkoepelend ziet Molendijk overigens wel iets wat alle organisaties die hun zaakjes niet op orde hebben, gemeen hebben: “Er is onvoldoende zicht op privacy- en securityrisico’s en er lijkt onvoldoende expertise aanwezig om beide duurzaam te borgen binnen een werkbaar ISMS (Information Security Management System, red.) gebaseerd op de Informatiebeveiligingsnormen (ISO, NEN) waar de organisatie mee te maken heeft.”

Uiteindelijk ontkom je als organisatie en ook als medewerkers van een organisatie dus niet aan extra maatregelen om de privacy te waarborgen. Daarvoor zijn de risico’s te groot en de eventuele boetes te hoog. Lowijs haalt op dit punt aan dat je vooral ook de private action-risico’s niet moet onderschatten. Het gaat daarbij niet om boetes vanuit de AP, maar om privé-entiteiten die bijvoorbeeld inzage eisen in wat een bedrijf allemaal over deze persoon weet en wat het met de data heeft gedaan. Er lopen op dit moment dan ook veel rechtszaken tegen bedrijven.

Het belang van aantoonbaar compliant met data omgaan is zonder enige twijfel duidelijk. Niemand wil boetes en niemand wil continu rechtszaken voeren tegen personen wiens data ergens in de systemen staat. Toch zitten er ook grenzen aan hoe belangrijk organisaties het vinden, constateert Remmerswaal. Hij gaat regelmatig op bezoek bij bedrijven die net gebreached zijn. “Dan staat een datalek niet heel hoog op de lijst”, stelt hij met enig gevoel voor understatement. Security is dan duidelijk belangrijker dan privacy.

Op zich is ook wel te verklaren dat security belangrijker is dan privacy op het moment dat er een breach is. Je denkt dan in eerste instantie vooral aan het voortbestaan van de organisatie. Daarnaast kan het ook best zo zijn dat de organisatie het privacy-technisch goed ingericht had. Dan valt de organisatie niet veel te verwijten. Aangezien het bij de AVG draait om verwijtbaarheid, niet om of je wel of geen datalek hebt, hoef je dan helemaal niet te vrezen voor een boete.

Oude en nieuwe data

We hebben het tot nu toe vooral gehad over waarom dataprivacy hoog op de lijst met prioriteiten moet staan bij organisaties. En dat het van cruciaal belang is om een goede risico-inschatting te maken. Nu komen we toch langzaam maar zeker bij de hamvraag van de discussie. Wat moet je doen om het zo goed mogelijk in te richten?

Mike Remmerswaal, Director Channel Solutions Engineering EMEA & LATAM bij Netskope

Het is tamelijk lastig om een bevredigend antwoord te geven op bovenstaande vraag. Dat begint al met de constatering van Van der Linden dat veel data is gemaakt voordat de nieuwe wet er was. Dus je moet ook iets bedenken om die data goed te classificeren. “We hebben met de invoering van GDPR niet de geschiedenis opgelost”, vat hij het samen. Remmerswaal ziet overigens wel een (tijdelijke) oplossing voor al die data waarvan niemand exact weet wat de status is. “Vijf jaar geleden ging het vooral veel over GDPR, nu vooral over Zero Trust. Als men niet bij de data kan zonder expliciete toestemming, kan er ook niets misgaan”, stelt hij.

Op zich is wat Remmerswaal zegt wel waar, maar dit lost niet alle problemen op die je als organisatie kunt hebben met dataprivacy. Als iemand contact opneemt en wil weten welke data je hebt van deze persoon, dan moet je dat ook kunnen vinden. “Zero trust lost het probleem in principe niet op voor oude data”, geeft Molendijk dan ook aan. Daar zit volgens haar een groot risico.

Indexeren en classificeren is niet eenvoudig

Al met al moet je dus zowel voor nieuwe data als voor oude data weten hoe je de privacy ervan kan waarborgen. Zo moet je beleid maken rondom welke data je überhaupt bewaart en hoelang je dat doet. Dat is iets waar we niet zo goed in zijn, geeft Lowijs aan. “We zijn niet goed in data weggooien”, geeft hij aan. Dat kan echter wel veel narigheid voorkomen. In principe begint dit gedeelte van dataprivacy bij een verwerkingsregister, waar je bewaartermijnen aan koppelt, voegt Molendijk toe.

Goud constateert overigens wel dat het opvragen van data bij organisaties door personen niet overal even gebruikelijk is. In de UK is wat ze daar SAR (Subject Access Request) noemen erg populair volgens hem. In Nederland ziet hij dat een stuk minder. Volgens Lowijs is de mindere populariteit van opvragen van data wel enigszins te verklaren. “Er is in Nederland een poging gedaan om dit goed in te richten, maar dat is niet van de grond gekomen”, zegt hij. Een van de voornaamste redenen hiervoor is dat het erg lastig is om data te indexeren en classificeren.

Als je (geautomatiseerd) in systemen en documenten gaat zoeken naar data die betrekking heeft op personen of data die je op een andere manier als gevoelig kunt bestempelen (wachtwoorden bijvoorbeeld), dan loop je al snel tegen de nodige beperkingen aan. Want waar zoek je naar? “Het indexeren van dit soort data is erg lastig”, zegt Lowijs dan ook. Wachtwoorden zijn op zich vrij eenvoudig te vinden, maar persoonsgegevens is al een stuk lastiger. Daarvoor heb je context nodig, geeft Goud aan. En die is met behulp van bestaande tooling niet eenvoudig te bepalen. Vandaar ook dat hij eerder in het gesprek al aangaf dat de oplossing van dit probleem niet begint bij de technologie.

Betrek mensen erbij

De sleutel voor het goed inrichten van dataprivacy ligt dus in principe niet primair bij de technologie. Uiteraard kun je middels een Zero Trust-benadering wel behoorlijk wat afvangen op het gebied van oneigenlijk gebruik van data en het voorkomen van datalekken. Dit gaat je echter niet op alle vlakken van het privacyvraagstuk helpen, hebben we gezien. Om dit wel volledig op te kunnen pakken, pleit Molendijk ervoor om beter naar de mens te kijken als sleutel tot succes. “De mens hoeft niet per se de zwakste schakel te zijn”, is zij van mening.

Lynn Molendijk, eigenaar van Privacy Specialist BV

Als je mensen beter bewust maakt van de waarde van data en het belang van privacy, krijg je als organisatie ook beter zicht op de risico’s. Privacy en security moeten onderdeel zijn van alle werkzaamheden van medewerkers en de processen van een organisatie. Dit hoeft overigens helemaal niet te betekenen dat je het leven van medewerkers zuur maakt met allerlei complexe nieuwe taken.

Lowijs heeft op dit punt een mooie anekdote. Hij heeft ooit gewerkt met en voor een jong bedrijf met jonge mensen, die allemaal mooie ideeën hadden die niet langs de privacy officer kwamen. Om duidelijk te maken waarom dat het geval was, stelde hij de medewerkers een simpele vraag: “Is het OK om dit ook met de data van je kinderen te doen?” In veel gevallen was het antwoord “Nee, niet echt”, wat vervolgens de mogelijkheid bood tot een goed conversatie rondom privacy. De medewerkers gingen zo zelf ook inzien waar de grenzen liggen.

Uiteindelijk draait het op het gebied van privacy om de kennis, inspiratie en opvoeding die binnen organisaties moeten plaatsvinden, geeft Molendijk aan. “Het belang van privacy en security start bij elk individu want ook jij loopt risico. Door persoonlijke risico’s te vertalen naar de risico’s van het werk, de processen en de klanten die je bedient raak je over het algemeen meer betrokken. Daarnaast moeten privacy en security organisatiebreed gedragen worden en moet er continu aandacht voor zijn.”

Dit is echter nog niet zo eenvoudig. Een van de belangrijkste zaken om je te realiseren is dat het om gedragsverandering gaat, stelt Goud. Daarbij moet je je als organisatie niet laten verleiden om te grote stappen te zetten en vanuit de technologie te denken. Dat werd pijnlijk duidelijk bij de ontwikkeling van het KEI-digitaliseringsproject binnen de rechtspraak. Daar is 220 miljoen euro ingepompt, maar het bleek te complex en in 2018 werd de stekker eruit getrokken. “Het UWV had iets soortgelijks, met een eigen portaal. Toen Covid kwam bleek dat er maar 5 procent mee mogelijk was van wat nodig was”, geeft hij als tweede voorbeeld.

Lessen voor organisaties

Als je de medewerker bij initiatieven betrekt, loop je een veel kleiner risico dat je zaken gaat ontwikkelen waar niemand op zit te wachten. Dat betekent niet dat iedereen zomaar alles kan gebruiken, maar het geeft je als organisatie wel een idee wat goed werkt voor medewerkers.

Een bekend voorbeeld van een applicatie die door veel medewerkers gebruikt wordt, maar door organisaties niet geaccepteerd wordt, is Dropbox. Hieruit kun je als organisatie opmaken dat er kennelijk een behoefte leeft bij het personeel om dit te gebruiken. Op zich zorgt dit er ook voor dat een organisatie onderaan de streep efficiënter kan werken, dus het is goed om ernaar te luisteren. Je moet het dan alleen zo inrichten dat medewerkers er binnen de kaders mee kunnen werken. “Mag je Dropbox niet gebruiken, ga dan Box gebruiken”, geeft Remmerswaal een mogelijke oplossing. Hij realiseert zich overigens ook dat dit weliswaar in principe eenvoudig is, maar niet voor alle organisaties mogelijk.

Je moet dit soort beslissingen overigens niet bij je medewerkers neerleggen, maar vooral ook zelf goed over processen nadenken. Goud geeft MFA als voorbeeld. Dat is het helemaal tegenwoordig, maar dat betekent ook dat je dit als organisatie mogelijk moet maken. Lowijs ziet dat organisaties hier steeds beter mee omgaan. Vooral sinds de invoering van GDPR in 2018 heeft hij een professionaliseringsslag gezien. Wel is het zo dat privacy nog altijd niet op hetzelfde niveau van awareness zit als security. Hij ziet dat ook niet snel veranderen: “Security zal nog altijd vooroplopen op privacy.” Gartner zei in 2019 al eens dat privacy op dat moment op hetzelfde punt zat als security in 2009. Dat gat is nog niet gedicht.

Stel vragen over privacy aan leveranciers

Naast meer bewustwording voor medewerkers is het ook belangrijk dat organisaties richting leveranciers mondiger worden. Van der Linden merkt dat dit inmiddels begint te komen. Als voorbeeld noemt hij het revoken van een encryptie/decryptiekey. Als je dat doet binnen de omgeving van Cloudian, dan gooien ze daarna tijdelijk de deur dicht. Dan kan er niet meer geschreven worden. Er zijn steeds meer klanten die hier specifiek naar vragen.

Rick Goud, oprichter en eigenaar van Zivver

Het is wel belangrijk dat klanten de juiste vragen stellen natuurlijk. In het geval van encryptie moet je volgens Goud niet zozeer vragen of een leverancier aan encryptie doet. Het gaat veel meer om hoe een leverancier de keys beheert. Deze zijn idealiter in beheer van de klant, maar worden nog altijd vaak door de leverancier beheerd. Die leverancier wordt een steeds belangrijkere ingang voor kwaadwillenden.

Molendijk vindt het bevragen van leveranciers op zich een goed begin, mits je een gelijkwaardige gesprekspartner kan zijn. “Er schuilt namelijk nog een hele wereld achter”, volgens haar. Deze moet je ook tot op zekere hoogte proberen te doorgronden als organisatie. Het moet uiteindelijk dus meer zijn dan alleen een vragenlijstje opstellen en afvinken. Het zou volgens haar nog mooier zijn als organisaties kennis en expertise in huis halen. Dan kun je de antwoorden goed interpreteren en doorvragen als je het niet helemaal vertrouwt.

Nieuwe skills en expertise in huis halen klinkt leuk, maar het moet natuurlijk wel kunnen. De mensen met die skillset moeten er wel zijn. Daar zit een uitdaging, die deels te verklaren is door de achterstand van privacy op security waar we het eerder over hadden. Lowijs herinnert zich nog hoe hij zich in 2005 met security bezig ging houden. “Er was toen nog geen security-opleiding, tot zes jaar geleden was er geen privacy-opleiding”, geeft hij aan. Inmiddels zijn er wel privacy-opleidingen, dus er moeten langzaam maar zeker meer mensen op de arbeidsmarkt komen die de kennis en expertise hebben die organisaties nodig hebben.

Goud ziet verder ook dat leveranciers simpelweg nog niet goed genoeg bezig zijn. “We helpen als leveranciers onvoldoende om het makkelijk genoeg te maken voor organisaties”, is zijn standpunt. Dat zorgt ervoor dat het lastig is om de vereiste skills op te bouwen. Hij pleit voor het opstellen van eisen als branche. Denk aan pentests, responsible disclosure van kwetsbaarheden, dat soort dingen. Hiermee geef je leveranciers een prikkel om het anders te gaan doen en om het makkelijker te maken voor klanten. Een voorbeeld van een vraag die je als klant zou kunnen en moeten stellen aan een leverancier is of deze zich ieder halfjaar onafhankelijk laat toetsen.

Betere dataprivacy betekent meer business

Het mag inmiddels duidelijk zijn dat het goed inrichten van je processen met betrekking tot dataprivacy zeker niet eenvoudig is. Er zijn nogal wat bewegende delen namelijk: de interne processen, de leveranciers, de wetgevingen en ook de medewerkers. Dit zorgt voor veel dynamiek die veel aandacht vereist vanuit de organisaties.

Als organisatie ben je echter zeker niet alleen maar aan het investeren om te voldoen aan de GDPR. Je krijgt er ook iets voor terug. “Wij zien dat organisaties zich onderscheiden op het gebied van privacy en security. Daarnaast lijkt het voldoen aan de NEN 7510 norm langzaamaan een vereiste te worden in de zorg. Dit kan in de toekomst impact hebben bij aanbestedingen door bijvoorbeeld Gemeenten en Zorgverzekeraars”, geeft Molendijk als voorbeeld. Anders kom je niet eens aan tafel. Van der Linden ziet dat databronnen waarop ML/DL-modellen trainen steeds belangrijker worden om business te genereren. De dataprivacy binnen die bronnen moet wel goed geregeld zijn, anders mag en kun je er niets mee. Althans, niet zonder het risico te lopen op een forse boete.

Lowijs stipt op dit punt nog een wat minder tastbaar onderdeel aan dat een invloed heeft op de bedrijfsvoering. “Als je veel met data van consumenten werkt, is het heel belangrijk om vertrouwen te hebben. Doe je dingen die mensen niet zinnen, dan lijd je eronder. Doe je het wel goed, krijg je meer vertrouwen.”

Onderaan de streep zorgt het goed inrichten van dataprivacy ook voor meer efficiency. Daarvoor moet je volgens Goud wel het juiste startpunt kiezen: “Als je naar goede oplossingen kijkt, begin je met use cases en requirements. Dan zal je zien dat je de consolidatie van applicaties kunt realiseren en de productiviteit omhooggaat.” Als je alles op deze manier goed inricht, gaan je bedrijfsresultaten ook vanzelf omhoog. Remmerswaal sluit zich hierbij aan en noemt het goed inrichten van dataprivacy een enabler: “Als je alles goed ingeregeld hebt, kun je veel sneller en beter services naar je eindklanten toebrengen.” En dat is waar het bij organisaties uiteindelijk om draait.

Conclusie

Al met al is het van cruciaal belang om je dataprivacy goed op orde te hebben. Dat is een open deur, maar wel een belangrijke. Het heeft nogal wat voeten in de aarde om dit goed te doen namelijk. Dit begint allemaal met de eerste stap. En dat moet getuige de consensus aan tafel geen technologische zijn. Om het in de woorden van Molendijk te zeggen: “Het is geen ICT-feestje.” Begin met het identificeren van waarom je het doet en zoek daar de juiste technologie (en mensen) bij. GDPR gaat namelijk niet meer weg, dus je kunt het maar beter optimaal inrichten. Sterker nog, richting de toekomst komt er nog veel meer aan vanuit de EU. Lowijs heeft het over niet minder dan 15 stukken wet- en regelgeving rondom digitalisering die er nog aan zitten te komen. Dan kun je de GDPR maar beter alvast goed geregeld hebben.

