Het recht op beperking van de verwerking zorgt voor meer kopzorgen. Iemand die bij een organisatie is aangesloten en waarbij de organisatie verplichtingen heeft jegens de aangeslotene, kan zijn werking (en dus verplichtingen) toch niet laten afhangen van de willekeur van de aangeslotene. Neem het voorbeeld waarbij iemand vraagt om zijn/haar financiële gegevens zoals bankrekeningnummer niet meer te gebruiken. Dat kan ertoe leiden dat de organisatie haar verplichtingen niet meer kan nakomen. Toegegeven, dit heeft weinig met IT te maken, doch menig functioneel analist en jurist heeft zijn/haar tanden hier al op stuk gebeten.
Budget ontsporing door GDPR angst
GDPR heeft absoluut zijn bestaansrecht. Het moest en heeft in zekere mate een halt toegeroepen aan cowboypraktijken van illustere bedrijven die niet altijd even zorgvuldig met onze data omsprongen, of er lucratieve zaakjes mee deden.
Ik wil het in dit artikel hebben over de angst die GDPR heeft gezaaid bij heel wat bedrijven die het wel goed menen en die door de aard van hun activiteiten over gegevens van natuurlijke personen beschikken.
Meerkost
Ik durf onomwonden te stellen dat de GPDR angst zorgt voor een aanzienlijke meerkost bij de ontwikkeling van enterprise software. De schrik zit er duidelijk in. In mijn ervaring stel ik vast dat GDPR consultants elkaar soms tegenspreken. En daar heb ik trouwens alle begrip voor. Want ondanks de 78 pagina’s van de Europese verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met welgeteld 99 artikels is het in concrete situaties bijzonder ambigu wat een bedrijf concreet en met welke diepgang moet doen.
Ik pretendeer zelf hoegenaamd geen GDPR expert te zijn, noch heb ik enige ambities in die richting. Wel wil ik een aantal concrete situaties delen waar GDPR zorgde voor een amalgaam aan meningen die telkens leidde tot een meerkost bij de bouw van enterprise software.
Recht op inzage
Het recht op inzage: wanneer het over NAW gegevens gaat, taal, geslacht, geboortedatum, etc… dan is iedereen mee wanneer een natuurlijke persoon zijn of haar recht op inzage uitoefent. Maar uiteraard houden sommige organisaties veel meer bij dan deze gegevens. Denk bijvoorbeeld aan gegevens over ontvangen lidgelden, over uitbetalingen van premies, over deelname aan trainingen, over mandaten, etc … Dient een organisatie deze ook te verstrekken? En zo ja, hoe? Het is de hoe vraag die zorgt voor een meerkost. Zelf ben ik ervan overtuigd dat een screenprint van een aantal schermen moet volstaan. Anderen zijn van mening dat er met één klik op de knop een keurig geformatteerd rapport uit het systeem moet rollen met alle mogelijke gegevens. De eerste oplossing is de meest pragmatische en meteen ook de goedkoopste. De cases waar een persoon het recht op inzage uitoefent kan ik alvast bij onze klanten op één hand tellen. En dan geniet de screenprint mijn persoonlijke voorkeur.
Beperking van verwerking
Dataportabiliteit
Recht op dataportabiliteit: hoe ver dient een organisatie hierin te gaan? Want naast de evidente persoonsgegevens hebben organisaties een historiek die vaak meer dan 20 jaar teruggaat, met gegevens over betalingen, ontvangen gelden, juridische bijstandsdossiers, gevolgde opleidingen, etc … dienen deze ook overgedragen te worden? Indien ja, dan impliceert dit een aanzienlijke meerkost voor de ontwikkeling wanneer dit alles in een elektronisch formaat dient te gebeuren. En opnieuw stelt zich de vraag hoeveel mensen van dit recht zullen gebruik te maken. Ik ken sinds de laatste 4 jaar geen enkel geval. Het is in ieder geval goedkoper om iemand voor die zeldzame vragen even manueel een data extract te laten doen om dan alles keurig in bijvoorbeeld een Excel bestand over te dragen.
Vergeten worden
Het recht om vergeten te worden: organisaties zijn wettelijk verplicht om specifieke data gedurende 7 jaar bij te houden. Dus zomaar gegevens van iemand wissen staat loodrecht op deze wettelijke verplichtingen. Echter, wanneer de 7 jaar gepasseerd zijn, kan er wel gevolg gegeven worden aan het recht om vergeten te worden. Maar voor statistische doeleinden wensen bedrijven niet zomaar alle gegevens en historieken te wissen. Dus worden de gegevens geanonimiseerd opdat deze niet meer te herleiden zijn naar een natuurlijke persoon.
Maar wat te doen met bijvoorbeeld juridische documenten in het kader van een groepsclaim? Die documenten (vaak PDF) kan je niet zomaar verwijderen, noch kan je de PDF aanpassen en de naam van die ene betrokkene schrappen die zijn/haar recht om vergeten te worden wenst uit te oefenen. Want deze documenten zijn nog wel relevant voor anderen die hun recht om vergeten te worden niet uitgeoefend hebben.
En tot slot: performante enterprise software bevat een heleboel logging: er wordt niet enkel bijgehouden welke gebruiker welke gegevens wanneer heeft aangepast, maar ook wat de data was voor en na de wijziging. Het recht om vergeten te worden betekent dus ook dat er retroactieve aanpassingen in allerhande log bestanden nodig zijn. En dat staat dan weer loodrecht op het gedachtegoed dat logbestanden enkel read-only dienen te zijn. Zeker in bedrijven waar audit trails in het kader van de opvolging van financiële transacties noodzakelijk zijn.
Conclusie
Een goede kosten baten analyse is noodzakelijk om geen nodeloze en buitensporige investeringen te doen in een automatische afhandeling van potentiële vragen van natuurlijke personen.
Dit artikel werd geschreven door Marc Schijvaerts