De invoering van de privacy wet (Algemene Verordening Gegevensbescherming, AVG) heeft naast juridische aspecten (wat mag je wel/niet doen met klantgegevens) ook belangrijke IT consequenties.
Zo moet je als organisatie weten welke persoonsgegevens je waar hebt opgeslagen – dit is absoluut niet triviaal.
Ook moet je indien een persoon dat vraagt in staat zijn om een overzicht te geven van alle persoonlijke gegevens die je van die persoon hebt opgeslagen in je systemen. En als een klant gebruik wil maken van zijn recht om “vergeten” te worden moet je dat met een druk op de knop kunnen uitvoeren.
Noodzakelijke IT voorzieningen voor AVG compliance
Om compliant te zijn moet je dus (IT) procedures hebben om aan de AVG rechten van personen te kunnen voldoen. In de Handleiding Algemene verordening gegevensbescherming staat een overzicht (H 7) van de rechten van betrokkenen. Ter illustratie van het belang van goede metadata lichten we hier een paar rechten uit:
- het recht op informatie over de verwerkingen
- het recht op inzage in zijn gegevens
- het recht op correctie van de gegevens als deze niet kloppen
- het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’
- het recht op overdracht van zijn gegevens (dataportabiliteit)
Om hieraan te voldoen is het noodzakelijk dat er een actueel overzicht is van
- data attributen (database tabellen en kolommen) die persoonlijke gegevens bevatten
- de persoonlijke gegevens van personen, opgeslagen in deze tabellen / kolommen.
Denk hierbij aan emailadressen, telefoonnummer(s), adresgegevens etc. Wat hiervoor nodig is is een geautomatiseerd systeem dat een inventarisatie maakt en bijhoudt van alle tabellen/kolommen en bestanden die persoonlijke data bevatten.
In onderstaande figuur wordt dit aangeduid als AVG metadata. Periodiek is het noodzakelijk om dit te updaten i.v.m. nieuwe of gewijzigde bronsystemen, ontwikkel/test/acceptatie omgevingen etc. 
A – Data Warehouse / BI omgeving worden regelmatig gesynchroniseerd met bronsystemen om nieuwe en / of te verwijderen personen te registreren
B – De metadata wordt geupdate wanneer in operationele systemen nieuwe tabellen / kolommen zijn toegevoegd met persoonlijke data
C – De AVG verantwoordelijke in de organisatie (verwerkingsverantwoordelijke of functionaris voor gegevensbescherming) is verantwoordelijk voor de definitie (wat beschouwen we als persoonlijke data) en bijhouden van de metadata
D – Er is een geautomatiseerd systeem om o.g.v. de AVG metadata een persoonlijk overzicht te genereren wanneer dit verzocht wordt. Hiervoor is het dus noodzakelijk dat er een actueel overzicht is van alle tabellen / kolommen / databases waar persoonsgegevens zijn opgeslagen.
Het recht op inzage veronderstelt dat er een systeem is om op verzoek alle persoonlijke data van een persoon te rapporteren (D). Dit houdt in dat de AVG metadata (B) up-to-date is, gemakkelijk geraadpleegd kan worden en vervolgens van deze persoon alle gegevens te rapporteren.
Het recht op verwijdering is ook afhankelijk van een up-to-date AVG metadata systeem om daarmee van een persoon alle persoonlijke gegevens te verwijderen (aantal manieren om dat te doen, zie de Handleiding § 3.2.4 – Pseudonimisering en anonimisering).
Zonder geautomatiseerd metadata update proces is het vrijwel onmogelijk altijd een up to date overzicht te hebben van opgeslagen persoonlijke gegevens.
Door de definities (wat beschouwen we als persoonlijke data, C) in een database procedure slim te koppelen aan de system catalogs is de AVG data steeds up to date.
