Wat voor soort privacy management software past bij jouw organisatie?
Vandaag de dag zijn er heel veel software oplossingen die stellen iets te kunnen betekenen op het gebied van privacy management software. Of het nu gaat om het scannen van websites, het inventariseren van verwerkingen van persoonsgegevens of het registreren van datalekken; voor elk probleem bestaat een softwarematige oplossing.
De markt voor privacy management software is in de afgelopen jaren dan ook geëxplodeerd. Waar het in 2017 nog slechts 55 aanbieders betrof, is dit inmiddels verdubbeld naar ruim 120 aanbieders. Alleen al in de afgelopen twee jaar zijn tientallen startups ontstaan om technologische oplossingen te bieden voor organisaties. Al deze oplossingen helpen organisaties om beter invulling geven aan de bescherming van persoonsgegevens, te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en de aankomende ePrivacy verordening, en de daarmee samenhangende risico’s te beoordelen en mitigeren.
Welk soort privacy management software past nou bij jouw organisatie?
Dat dit bij een heel aantal organisaties resulteert in een keuzestress is dan ook niet zo verwonderlijk. Want welk soort privacy management software past nou bij jouw organisatie? Het beantwoorden van deze vraag is nog niet zo eenvoudig en is eigenlijk altijd afhankelijk van de grootte of volwassenheid van de organisatie en de specifieke dingen die zoal met persoonsgegevens gedaan worden. Daarom zal in deze blog getracht worden iets meer handvatten te bieden voor het maken van de keuze voor privacy management software.
Om een goede keuze te maken moeten we eerst weten welke keuzes er allemaal zijn. Hierbij gaan we uit van de categorieën van privacy management software zoals deze door de IAPP (International Association of Privacy Professionals) zijn gedefinieerd. De IAPP maakt daarvoor allereerst onderscheid tussen software oplossingen die specifiek bedoeld zijn om het privacy team te ondersteunen (privacy software) en software oplossingen die het privacy team ondersteunen in aanvulling op functionaliteiten die breder binnen de organisatie kunnen worden gebruikt (enterprise software).
De eerste categorie betreft vaak software oplossingen die specifiek met het oog op privacy compliance zijn ontwikkeld. De tweede categorie bevat daarentegen vaker software oplossingen die zijn uitgebreid met privacy modules of die gebruikt kunnen worden om aan bepaalde verplichtingen uit de AVG te voldoen, maar daar niet specifiek voor ontwikkeld zijn. Dit betekent echter niet dat dit soort software daarmee minder goed is dan de software uit de eerste categorie, slechts dat het met een andere insteek ontwikkeld is.
Binnen deze twee hoofdcategorieën onderscheidt de IAPP vervolgens verschillende soorten functionaliteiten. Zie de tabel hier onder voor een overzicht en toelichting op de verschillende functionaliteiten.
Privacy software
- Assessment managers: Uitvoeren van verschillende inhoudelijke beoordelingen op het gebied van privacy.- Toestemmingsmanagers: Bijhouden en managen van toestemming die gegeven is door betrokkenen.- Data mapping: In kaart brengen van de verschillende soorten persoonsgegevens en verwerkingen binnen je organisatie.- Incidentmanagement: Administreren en afhandelen van datalekken.- Privacy informatie managers: Biedt een overzicht van relevante privacy wet- en regelgeving.- Website scanning: Genereren van overzichten van alle cookies, beacons en andere trackers waarover gecommuniceerd moet worden naar de betrokkene.
Enterprise software
Activiteitenmonitoring: Bijhouden en tracken van alle handelingen die plaatsvinden met persoonsgegevens binnen de organisatie.Data ontdekking: Geautomatiseerd verzamelen van informatie over de soorten persoonsgegevens die binnen een organisatie aanwezig zijn.De-identificatie/ pseudonimisatie oplossingen: De-identificeren/pseudonimiseren van gegevens zodat deze gebruikt kunnen worden zonder dat de privacy van betrokkenen in gevaar komt.Veilige communicatiemiddelen: Mogelijk maken van interne communicatie zonder gevaar voor (data)lekken.
Met dit overzicht is de keuze voor bepaalde software natuurlijk nog niet gemaakt. Daarvoor is nodig om kritisch te kijken naar waar je organisatie op dit moment staat.
Waar sta je als organisatie?
In principe is elk van de bovenstaande functionaliteiten nuttig voor het privacy management binnen je organisatie. Functionaliteiten als ‘privacy informatie managers’, ‘de-identificatie’ en ‘veilige communicatiemiddelen’ zijn altijd nuttig om te hebben op het moment dat je te maken hebt met persoonsgegevens, maar zijn over het algemeen niet de eerste dingen om op te focussen als er nog weinig tot niets aan onderhoud heeft plaatsgevonden op het gebied van privacy.
Op het moment dat je organisatie nog weinig informatie heeft over de verwerkingen die plaats vinden en de persoonsgegevens die daarbij betrokken zijn, is het aan te raden om te focussen op ‘data mapping’ en ‘data ontdekking’, eventueel samen met ‘website scanning’ en ‘activiteitenmonitoring’. Deze functionaliteiten genereren namelijk bepaalde essentiële informatie voor je privacy management. De informatie die hierbij wordt verzameld kan vervolgens helpen bij het ‘assessment management’, ‘incidentmanagement’ en ‘toestemmingsmanagement’ binnen je organisatie.
Let op: Privacy management software kan veel, maar vervangt nooit goed beleid of awareness binnen een organisatie. Denk daarom altijd breder dan alleen software en stel de vraag; Hoe kan privacy management software mij ondersteunen bij het privacy management binnen mijn organisatie?
Veel succes bij het uitzoeken en aanschaffen van privacy management software die bij jouw organisatie past! Kijk daarbij ook eens naar Privacy Nexus: Met Privacy Nexus bieden wij onder andere een data mapping module voor het creëren van een register van verwerkingen. Een assessment manager omtrent privacy impact assessments (PIAs) om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen (en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen). Maar ook modules om bijvoorbeeld de compliance van leveranciers en derde partijen te monitoren. Specifiek ontwikkeld voor de naleving van de AVG.