David Kemp: “ Nieuwe wetgeving rond GDPR heeft veel bedrijven en organisaties wakker geschud.”

Michel Klompmaker
Voorafgaande aan het  Nationaal Privacy Event dd 24 mei in Den Haag (Louwman Museum) spraken wij exclusief met David Kemp over de impact van GDPR (General Data Protection Regulation). Kemp is met een groot aantal bedrijven in gesprek over dit onderwerp en werkt daarbij samen met advocatenkantoren en “System Integrators” om deze bedrijven te helpen. Daarbij helpen de juristen om de juiste interpretatie toe te passen op hun organisatie, dat begint met mensen en bedrijfsprocessen en dat vloeit dan voort in beleid en governance.
Hoe staat het er nu voor met de implementatie, zo vlak voor 25 mei 2018 ?
David Kemp: “Veel bedrijven en organisaties worstelen om te kunnen voldoen aan de eisen die deze  Europese wetgeving aan hen oplegt. Procedures rond de opslag en verwerking van persoonsgegevens dienen te worden vastgelegd in alle betrokken afdelingen en bovendien moet dat met documenten kunnen worden aangetoond. En dan is er natuurlijk nog het item van de beveiliging en opslag van data, zowel intern als extern.”
Dat betekent dus heel wat werk voor organisaties als de uwe. Daar moet u wel erg blij mee zijn toch?
David Kemp; “Ja, daar heeft u natuurlijk in zekere zin wel gelijk in. Compliance is natuurlijk voor zowel de private als de publieke sector als ook juristen en toezichthouders een uitdaging. Wij zien evenwel dat de nieuwe wetgeving het bewustzijn verhoogt bij veel bedrijven en dat ze veel kritischer zijn gaan kijken naar hun eigen stafmensen en naar hun interne bedrijfsprocessen. Met andere woorden de nieuwe wetgeving rond GDPR heeft veel bedrijven  en organisaties wakker geschud die nu bezig om hun interne processen en alle zaken rond databeheer kritisch onder de loep te nemen. Wij vinden dat uiteraard een goede zaak, maar zien ook dat veel bedrijven daar veel te laat mee begonnen zijn. Als de analyse eenmaal gemaakt is en de governance bekend is dan kunnen wij aan de slag met de automatisering van de tooling, zowel op het gebied van data en security.”
Welke oplossingen hebben jullie dan in concreto?  
David Kemp: “Micro Focus heeft een aantal oplossingen specifiek gericht op de data-kant van de Avg, denk aan: ‘artikel 17: het recht om vergeten te worden’ en ‘artikel 20: dataportabiliteit’, maar ook in relatie tot de wettelijke bewaarplicht voor bepaalde data. Onze tools brengen in kaart waar privacy gevoelige data zich bevinden (zoals bijvoorbeeld medische data, cv’s, contracten en andere gevoelige documenten) in zowel de databases, email- en SharePoint omgevingen alsmede andere. Op het moment dat alle type data inzichtelijk zijn, kunnen wij regels, in het Engels noemen we dat policy, instellen om deze data volgens de juiste bewaartermijnen op te slaan, te vernietigen indien noodzakelijk  en de juiste autorisaties en audit trails toe te kennen. Dit levert voordelen op omdat men altijd weet waar je data staat en wat er met de data is gebeurd.”
Dan is er ook nog het befaamde artikel 30 register van verwerkingen. Hebben jullie daar een oplossing voor?
David Kemp: “Goed dat u die vraag stelt. We hebben daar onze “Content Manager” voor, een complete content-records- en archief-management oplossing waar 35 jaar aan ontwikkeltijd en expertise in is gestoken. De oplossing is ontworpen om te kunnen voldoen aan diverse standaarden, waaronder de ISO15489 standaard voor het beheren van records en is compliant op het gebied van gegevensbeveiliging en daarmee is het bij uitstek een compliance archief. Compliance managers kunnen dan borgen dat de gegevens uit zowel databases, cloud platformen als ook on-premise gegevensbronnen van de juiste bewaartermijnen voorzien worden en opgeslagen worden conform de geldende wet- en regelgeving of intern beleid.”
Het Nationaal Privacy Event vindt plaats op 24 mei aanstaande in  Den Haag.