GDPR: waarom is het zo belangrijk voor uw SAP systemen?

GDPR: waarom is het zo belangrijk voor uw SAP systemen?

Wat is GDPR?

De afkorting GDPR staat voor General Data Protection Regulation (of in het Nederlands AVG:  Algemene Verordening Gegevensbescherming). GDPR draait om de bescherming en het beheer van persoonsgegevens en is van toepassing op elk bedrijf met klanten of werknemers binnen de Europese Unie.

Centraal binnen GDPR staat dat het uitgangspunt voor ondernemingen moet zijn om zo min mogelijk persoonsgegevens te bewaren, en dat er redelijke voorzorgsmaatregelen aanwezig zijn om de risico’s voor personen te minimaliseren. Dit heeft invloed op alle mogelijke manieren waarop gegevens worden beheerd. Van de manier waarop data wordt opgeslagen en gedeeld, tot de manier waarop het toegankelijk wordt gemaakt.

 

GDPR en de wet

GDPR is niet nieuw. U kent wellicht nog wel het verhaal van een Spanjaard die in 2014 een rechtszaak aanspande tegen Google omdat hij eiste dat zijn gegevens niet door Google gevonden mochten worden. Ik fronste mijn wenkbrauwen toen ik het artikel jaren geleden las: het Internet is een plek waar data voor altijd en eeuwig opgeslagen is. Te vergelijken met veel van onze bedrijfsapplicaties. Natuurlijk archiveren en gooien we weleens data weg, maar over het algemeen blijven er altijd wel sporen achter, bewust dan wel onbewust.

Op 14 april 2016 werd een besluit genomen in het Europees Parlement dat heel veel consequenties gaat geven voor juist deze bedrijfsapplicaties: de GDPR wet werd aangenomen.

De EU gaf bedrijven wel ruim de tijd om aanpassingen door te voeren in hun processen en systemen. Twee volle jaren om exact te zijn, en deze tijd is nu bijna verstreken.

 

Bent u al zover?

Ik denk dat u al grote stappen gezet heeft. De beveiliging van uw systemen heeft top prioriteit en is ongetwijfeld goed geregeld, de verplichte aanstelling van een DPO (“Data Protection Officer”) is vast ook al gebeurd indien u meer dan 250 werknemers heeft. Toch?

Waarom is het dan zo, dat – volgens vele onderzoeken – 80%(!) nog niet compliant is, terwijl de boetes voor het niet compliant zijn torenhoog mogen worden? De bedragen liegen er niet om: tot aan 20 Miljoen Euro of 4% van uw wereldwijde jaarlijkse omzet.

Ik denk dat veel bedrijven worstelen met hetzelfde vraagstuk als waar Google in 2014 een antwoord op moest geven: “the right to be forgotten”.

 

The right to be forgotten

Artikel 17 van de GDPR wet geeft aan: Right to Erasure and “to be forgotten”. Dit betekent in de praktijk dat een consument, werknemer of ander natuurlijk persoon, een verzoek in kan dienen bij ondernemingen om persoonlijke gegevens te laten verwijderen. Dit verzoek moet onder de GDPR wet ingewilligd worden indien er inderdaad geen reden meer is tot opslag, bijvoorbeeld omdat een contract met een organisatie beëindigd is.

Kunt u zich de impact voorstellen binnen uw SAP landschap als dergelijke verzoeken straks daadwerkelijk door uw bedrijf ontvangen gaan worden? We hebben het dus niet alleen over HR data, maar over elk gegeven dat direct – of indirect – te herleiden is tot een natuurlijk persoon.

 

De impact op het SAP landschap is groot

Nogmaals, het gaat dus niet alleen maar over de HR module, maar over alle modules binnen het ECC of S/4HANA systeem. Sterker nog, daar eindigt het niet, ook uw BW of BW/4HANA systeem valt onder het bereik van de GDPR. Ook daar zal data verwijderd, versleuteld of gemaskeerd moeten worden zodat deze niet meer herleidbaar is naar een natuurlijk persoon.

Maar hoe kan dit zonder dat de integriteit van uw SAP systemen end-to-end aangetast wordt? Hoe borgt u dat bestaande BI investeringen in rapportages en inzicht niet teniet worden gedaan?

Dit kan door middel van een proces aanpak en bijbehorende tooling welke wij samen met onze partners ontwikkeld hebben. Onze GDPR scan identificeert in samenwerking met uw Data Protection Officer (DPO) zowel de gebieden met gevoelige informatie alsmede de benodigde beschermingsmaatregelen per persoonsgegeven. Middels onze specifiek op SAP ontworpen en beproefde tooling worden vervolgens de beschermingsmaatregelen (verwijderen, versleutelen of maskeren) op uw data binnen ECC en/of BW doorgevoerd. Dit kunnen we niet alleen eenmalig, maar ook periodiek zodat u ook compliant blijft!

In ons volgende blog zullen we u meer vertellen over onze aanpak en ook een “deep dive” geven in de gebruikte techniek.

Nu al meer weten? Neem contact op met ons.

Leon Huijsmans