Het kan u bijna niet ontgaan zijn: in mei 2018 wordt de nieuwe verordening voor de bescherming van persoonsgegevens (GDPR) van kracht. Deze verordening geldt voor alle bedrijven die werkzaam zijn binnen de EU. Uit onderzoek blijkt echter dat een jaar na de officiële aanname door de Europese Unie, de meerderheid van it- en business professionals niet voorbereid is, of niet weet of er een plan is voor de implementatie van GDPR in hun organisatie.
Voor degenen die nog niet op de hoogte zijn: het doel van de GDPR is om de privacy en integriteit van persoonsgegevens van consumenten beter te beveiligen. Is er sprake van een datalek, dan moet een organisatie in staat zijn om dit binnen 72 uur aan de autoriteiten en mogelijk getroffen klanten te melden. Het risico van niet-naleving van de regels is een boete tot twintig miljoen dollar of 4 procent van de wereldwijde jaaromzet.
Ondanks deze hoge boetes laat recent onderzoek zien dat meer dan 80 procent van de respondenten niets of slechts een paar details weet van de GDPR. Bijna alle ondervraagde bedrijven (97 procent) heeft bovendien geen plan klaarliggen, hoewel meer dan 90 procent van de respondenten wel stelt dat hun bestaande beleidsvoering niet voldoet aan de GDPR-eisen.
Onduidelijkheid
Een van de grootste problemen met de nieuwe verordening is de onduidelijkheid over wat wel en wat niet is toegestaan. Ondanks dat niet elk detail of elke stap, van governance tot security, in de tekst van de GDPR op detail wordt beschreven, is dat natuurlijk geen reden om rustig achterover te leunen. Dus laten we beginnen met wat we wél weten.
In de nieuwe verordening is de definitie van persoonsgegevens veranderd naar ‘alle gegevens die de identificatie van een persoon indirect of direct mogelijk maken’. Deze definitie is erg breed, omdat het alle informatie betreft over ‘een identificeerbaar natuurlijk persoon’. Denk hierbij aan een naam, locatiegegevens, economische, sociale of culturele identiteit. De meest gebruikte definitie van deze persoonsgegevens is ‘persoonlijk data’ (pd).
Van max naar min
Data scientists stellen dikwijls: hoe meer data (inclusief pd) we verzamelen, hoe meer we kunnen weten over onze klanten, de markt, het milieu, etc. Met allerlei nieuwe technologieën verzamelen we meer data dan ooit. En met behulp van geavanceerde big data analytics onttrekken we vaak bruikbare, maar ook minder nuttige informatie. Dit wordt ook wel ‘surprise maximalisatie’ genoemd: analyses uitvoeren met behulp van algoritmes op grote hoeveelheden data. Deze ontwikkeling staat haaks op onze privacy-wetgeving en roept ethische vragen op over het gebruik van data. Binnen de GDPR zal de regelgeving hieromtrent strenger zijn, om voor consumenten meer privacy te garanderen.
Vanaf mei 2018 is ‘data-minimalisering’ voor pd verplicht. Dit betekent dat je niet meer gegevens mag verzamelen en verwerken dan dat je daadwerkelijk nodig hebt om je vooraf gestelde doel te verwezenlijken. Een eenvoudig voorbeeld, als je alleen een naam, adres en postcode voor het verzenden van orders, is het niet nodig om het webformulier ook om een telefoonnummer te vragen. Het staat in de lijn der verwachting dat er binnen de GDPR meer flexibiliteit zal zijn wanneer de data anoniem, ge-pseudonimiseerd of versleuteld wordt verwerkt.
Privacy by design
Data-minimalisatie is een onderdeel van het ‘privacy-by-design’ principe binnen de GDPR. In de ontwikkelingsfase van (nieuwe) producten of diensten, moet een organisatie zo vroeg mogelijk rekening houden met de privacy van pd. Voor alle data moet je dus expliciet weten waar het voor gebruikt zal worden en of er behoefte is aan pseudonimisatie. Bent u al bezig met het maken van een pd-inventarisatie? In welke systemen, databases en servers zit de PD opgeslagen of wordt het verwerkt? Wat betekent het beginsel van ‘privacy by design’ voor huidige en nieuwe data lakes, data warehouses en applicaties?
Uit onderzoek blijkt dat veel bedrijven momenteel niet in staat zijn bovenstaande vragen te beantwoorden. Het is belangrijk om goed voorbereid te zijn op de veranderingen die de GDPR meebrengt. Niet alleen om hoge boetes te voorkomen, maar om de voordelen voor uw organisatie slim in te zetten. Mei 2018 lijkt nog ver weg, maar komt sneller dichterbij dan u denkt!
“Een van de grootste problemen met de nieuwe verordening is de onduidelijkheid over wat wel en wat niet is toegestaan.”
Het is niet ingewikkeld, het wordt ingewikkeld gemáákt. Zo ook hierboven.
Eventueel bestaande ‘onduidelijkheid’ kan snel worden opgelost door de benoeming van een DPO.
Daar is deze functionaris nl. voor bedoeld. En voor veel organisaties – overheden en bedrijfsleven – is deze benoeming zelfs verplicht. Internet biedt hiervoor genoeg praktische informatie, zie bijv. de beslisboom voor het bedrijfsleven : https://www.dponetwork.eu/uploads/3/1/7/3/31732293/dpo_decisiontree.pdf
‘Ingeval van twijfel, zie er van af’ is hier niet op zijn plaats!
‘Ingeval van twijfel, benoem een DPO’, al is het maar tijdelijk.
En als u een professional duur vindt, probeer eens een amateur.
Maar lees dan éérst even verder over de boetes voor non-compliance : https://www.europadecentraal.nl/onderwerp/informatiemaatschappij/gegevensbescherming-en-de-avg/toezicht-en-sancties/
Beste P.J,
dank voor je reactie.
In mijn klantgesprekken merk ik momenteel dat organisaties toch nog niet 100% weten wat nu precies te (moeten) doen, waarmee het beste te beginnen, en de doorvertaling naar IT (architectuur). Uiteraard zie ik ook verschillen in volwassenheid per industrie in het omgaan met persoonsgegevens.
Hetgeen ik ook vooral wil belichten, is een stuk bewustwording en cultuur, hoe (anders) om te gaan met persoonsgegevens, met natuurlijk GDPR in het achterhoofd, maar ook vanuit een ethisch aspect.
Ben het helemaal eens met het statement ‘Ingeval van twijfel, zie er van af’ is hier niet op zijn plaats!
Dank voor de beslisboom, handig!
@Rein : laat dat “stuk bewustwording en cultuur, en ethisch aspect” maar.
Zie ook http://www.binnenlandsbestuur.nl/digitaal/nieuws/helft-van-de-gemeenten-verzwijgt-datalekken.9557054.lynkx
Een simpeler oplossing is indien leveranciers de AVG-requirements gewoon default inbouwen in hun hard-/firm-/soft-/wetware-oplossingen. Dat is immers hetgeen de klant als Business Requirements ‘zou moeten willen’ vanuit AVG-optiek. Deadline voor implementatie is 25 mei 2018.
Pseudonimisering en anonimisering persoonsgegevens, PET, PEP, Privacy by Default, Security-by-Design en niet te vergeten : Ethically Aligned Design (IEEE)
De keerzijde is immers een hardnekkig hardleerse klant.
En gelet op de ontwikkelingen binnen IoT is het daarom een kwestie van tijd voordat de Europese regelgever in het verlengde daarvan de leveranciersaansprakelijkheid door trekt naar de AVG.
@P.J: je zit er wel strak in! Zo ver ben ik nog niet 😉
@Rein : Mooi! Dan heb je de voorsprong van een verse start. De AVG is helder genoeg, de in de AVG genoemde principes zijn over de jaren al grondig gedetailleerd.
De AVG zien als een ‘client business risk’ geeft het juiste niveau en is voldoende voor een programma-start.
@P.J: je zit er wel strak in! Zo ver ben ik nog niet 😉
Het is goed dat er aandacht gegeven wordt aan de GDPR maar jammer dat de informatie zo summier is. Tenslotte is dit alleen maar een aanscherping van oudere wetgeving rond privacy uit 2001 die van kracht werd als gevolg van de toenemende populariteit van Internet maar vrijblijvend door de verschillende landen ingevuld werd. Zo hadden we altijd al het recht op verwijdering en correctie van persoonsgegevens alleen maakte niemand zich daar druk omdat de EDP-auditor wegbezuinigd was.
Ja, P.J. er ligt een AVG maar hoe is het Information Lifecycle Management werkelijk geregeld binnen organisaties?
Let wel, dat persoonsgegevens niet alleen digitaal opgeslagen worden omdat nog een groot deel van de overheid archiveert op papier. een onderzoek van Erfgoedinspectie maakt duidelijk dat de digitale transformatie vaak niet meer is dan een digital façade omdat nog altijd de e-mail uitgeprint worden om deze te bewaren. Procesmatig valt er nog veel te verbeteren aangaande het Information Lifecycle Management doordat er organisatorisch een fout gemaakt is. Data is een probleem van ITIL, het Information Lifecycle Management een ASL/BiSL probleem waarbij keten (welke uit wat meer bestaat dan alleen een ICT-infrastructuur) wel als geheel wel integraal beheerd moet worden omdat je anders datalekken krijgt. Zie ook de presentatie die ik gaf hierover op de Storage Expo:
http://www.slideshare.net/edekkinga/digitaal-onvoltooid-verleden-tijdv2
AVG is trouwens alweer achterhaald nu politieke speelveld aan de andere kant van de haringplas zo veranderd is, het lijkt er namelijk op dat @realDonaldTrump eenzijdig een streep zet door het EU-VS privacyshield dat als vervanging voor Safe Harbor kwam.
* “AVG is trouwens alweer achterhaald” is nonsens die je – letterlijk – duur kan komen te staan
* AVG en Privacyshield staan in beginsel los van elkaar.
* met Privacyshield is de US héél nerveus bezig, want het is hoofdzakelijk een US-probleem. Een vervanging voor Safe Harbor was Privacyshield tóch al niet echt, zie o.a. de kritiek van de EPDS
* de AVG beperkt zich niet tot digitale zaken. En data is geen ITIL-probleem sec.
* diegenen die hun processen of ketens – na al die jaren nog steeds – niet op orde hebben, hebben nog 18 maanden de tijd.
P.J.
De AVG is een Nederlandse invulling, sinds WBP in 2001 niet echt een succes als we kijken naar de wijze waarop onze Oosterburen de wet geïnterpreteerd hebben. Zo mogen daar de persoonsgegevens de LANDSGRENZEN niet overschrijden, de GDPR is uiteindelijk namelijk vooral een harmonisatie voor een vrij verkeer van persoonsgegevens binnen de EUROPESE UNIE die nu uit elkaar lijkt te vallen met de BREXIT.
Oja, de bescherming van persoonsgegevens dient dus technologieneutraal te zijn en geldt ook alle digitale archieven wat blijkbaar een ‘milleniumprobleem’ geeft in alle ‘broedkamers’ van moderne datasynthese. Dataportabiliteit……laten we de Belastingdienst privatiseren?