25 Mei 2018 moeten alle Nederlandse organisaties voldoen aan de General Data Protection Regulation (GDPR). Omdat deze Europese privacywetgeving uit een hoop tekst bestaat, vat ik het hier op een simpele manier samen.
Wat wordt er van elke Europese organisatie verwacht?
- Ieder persoon over wie je data op wilt slaan, moet expliciet toestemming hiervoor geven;
- Je geeft aan welke data je over die persoon opslaat en om welke reden;
- Daarnaast communiceer je met ieder persoon over wie je data opslaat, met welke andere organisaties je deze data deelt;
- Het is de verantwoordelijkheid van de organisatie om de persoonsgegevens te beschermen tegen lekken en misbruik;
- Als je deze data deelt met andere organisaties moet je een bewerkersovereenkomst sluiten met deze organisaties;
- Je blijft altijd verantwoordelijk over de persoonsgegeven die je opslaat en verwerkt. Je bent verplicht te controleren of de organisaties met wie je bewerkersovereenkomsten sluit, dat deze persoonsgegevens zorgvuldig beschermen tegen onbedoelde toegang;
- Ieder persoon waarover je data opslaat, heeft het recht deze data in te zien, ofwel; recht op inzage;
- Als je als organisatie gegevens over personen deelt met anderen, bijvoorbeeld op een forum of zoekmachine, dan heeft deze persoon in bepaalde gevallen het recht om vergeten te worden.
That’s it! Als je hieraan voldoet, kun je niet gestraft worden voor het lekken van data. Overigens ben je wel verplicht als er een data-lek optreedt om dit te melden aan de autoriteit persoonsgegevens (AP)
Als je deze bondige manier van communiceren goed vindt, geef dat dan aan. Ik zal de komende maanden in heldere hapklare brokken aangeven wat je als organisatie kunt doen om GDPR-compliant te zijn. Gewoon concreet. Natuurlijk zijn er veel details, maar alles draait om de basis die ik zonet beschreven heb.
Heb je vragen voor een follow-up? Plaats deze als commentaar hieronder.
De auditor (zowel intern als extern) heeft hier ook een belangrijke rol in. Voor de ISO 27001- of NEN 7510- certificering wordt door de auditor gekeken of de informatiebeveiliging op orde is en in lijn met wet- en regelgeving. Als je je als organisatie niet aan de Wbp of straks de GDPR/AVG houdt, ben je niet compliant en zal een auditor geen certificering afgeven. Ook de accountant kijkt hier naar, maar dan vooral vanuit risicoperspectief: niet compliant zijn brengt een risico op boetes met zich mee en daar moet je werkkapitaal voor aanhouden.
Complimenten voor de korte samenvatting.
Ik zie staan : That’s it! Als je hieraan voldoet, kun je niet gestraft worden voor het lekken van data. Volgens mij kan je wel aansprakelijk gesteld worden voor het lekken van data als je een datalek niet tijdig hebt gemeldt!
Wat ik ook mis is dat je als organisatie moet aantonen dat je voldoet aan de wetgeving. Het is dus niet zo dat er iemand een organisatie gaat controleren.
Ten aanzien van het delen van informatie ga je kort door de bocht….je moet ook toestemming hebben om data te delen en de degene die van de data gebruik gaat maken moet ook weer toestemming hebben van de persoon waarvan jij de data hebt gedeeld.
Nog even over de NEN8012….ook daar moet zowel de opdrachtgever als de aannemer aantonen dat de juiste kabels worden toegepast…er komt dus niemand controleren. Pas Toe of Leg UIt beleid.
Dag Willem,
Goede aanvulling. Je moet inderdaad lekken wel melden. En ja, naast de dingen die je moet doen uit de opsomming, moet je wel aan kunnen tonen dat je ze gedaan hebt. Er is dus een stukje vastleggen nodig, of zoals Eric schrijft; het moet ge-audit kunnen worden.
Over het delen van informatie. Uiteraard ga ik wat kort door de bocht. Als ik alle detail vermeld kom je al snel in grote stukken tekst terecht. Doel is vooral om de scope te beschrijven op een begrijpelijke manier.
Overigens gaat punt 1 over toestemming vragen aan de persoon over wie je data opslaat. Daar vermeld je ook met wie je de data deelt of welke organisaties data gaan verwerken en met welke reden. Het is in mijn ogen niet nodig dat als ik persoonsgegevens laat verwerken door partij X (bijvoorbeeld doordat mijn provider voor veilige data opslag zorgt) dat partij X ook toestemming moet vragen aan de persoon over wie data wordt opgeslagen. Ik neem immers de verantwoordelijkheid over deze data. Maar goed details en processen hierom heen zou ik graag per punt in een nieuw artikel willen verwerken zodat er een begrijpelijk beeld ontstaat hoe organisaties kunnen voldoen aan de GDPR. GDPR is te kort door de bocht om compleet te zijn, het gaat dan ook niet direct om de letters van de regulering, maar om de geest erachter. Als je deze centraal stelt en hierna handelt hoef je niet veel hiervan te vrezen.
En zoals je schrijf; pas toe en leg uit. Met een goed verhaal en onderbouwing kom je een heel eind.
“Als je hieraan voldoet, kun je niet gestraft worden” is – ook voor een versimpeling – een tikje kort door de bocht.
Houd er rekening mee dat de bepalingen van de GDPR de *ondergrens* definiëren van hetgeen verwacht wordt.
Dan is het dus al snel gebeurd dat men aan de verkeerde kant van de lijn terecht komt.
Onze eigen DPO lijkt het poldermodel te gaan hanteren.
Andere DPO’s en CJEU zijn een andere mening toegedaan. Zie o.a.
* https://www.insideprivacy.com/international/european-union/italian-dpa-issues-record-data-privacy-fine/
* https://iapp.org/news/a/breached-eu-data-protection-law-cjeu-says-fix-it-move-on-pay-damages/
P.J WESTERHOF, All models are wrong, some are useful.
Ook ik stel dingen simpeler voor dan ze zijn en de reden die ik daarvoor heb is dat GDPR voor veel organisaties “daunting” is. Door met een versimpeling een dialoog te starten zoals hier in de reacties ontstaat er een mooi beeld van het speelveld.
Thanks voor de artikelen al moet hierbij opgemerkt worden dat er (veel) meer aan de hand was dan alleen het gebruiken van persoonsgegevens zonder expliciete toestemming.
Wat de GDPR stelt aan maatregelen is al drastisch meer dan nu het geval is. Ik voorspel dan ook dat meer dan 90% van de bedrijven en mogelijk zelfs 99% in NL niet compliant zullen zijn aan de GDPR in mei 2018.
Persoonlijk sta ik achter de GDPR en geloof dat het een goed iets is. Een anti-patroon met de huidige trend waarin privacy steeds minder beschermt en verdedigd word. Daarbij geloof ik dat het cruciaal is dat bedrijven langzaamaan gewoontes implementeren als het op privacy aankomt. Populair gezegd; betekenis geven aan privacy by default en privacy by design.
Als je goed kunt aantonen dat je het beschermen van persoonsgegevens serieus neemt en de geest erachter, dan lijkt mij een de kans op een boete louter op het formeel overtreden van de GDPR vrij klein. En let wel, AP is in mijn ogen leidend bij het geven van een boete in NL, dus laten we hier vooralsnog vanuit gaan.
Wel goed om context te geven! En voor grote internationale bedrijven is het natuurlijk een heel stuk complexer!
Tja, zoals ik hier en elders medio vorig jaar al zei : organisaties die zich over de jaren énigzins aan de regels (WPR en WBP) hebben gehouden zullen nu betrekkelijk weinig moeite hebben om compliant te worden of te blijven.
De rest zal het moeilijk krijgen, zéker die organisaties die nu nog met ‘bewustwording’ bezig zijn.
Ook voorspelde ik dat we begin 2018 allerlei brandbrieven aan de politiek zullen zien, waarin men klaagt ‘dat de overgangsperiode te kort is’ en ‘de eisen te hoog’ en ‘dat het toch wel érg veel en érg ingewikkeld is’.
De GDPR geeft ruime mogelijkheden aan organisaties om extra moeite te doen en aan te tonen dan men de zaakjes op orde heeft; o.a. ‘Codes of conduct’ en ‘Certifications’.
Er zullen echter ook organisaties zijn die de GDPR als een soort ‘privacy-APKtje’ zien en alleen de absoluut minimale inspanning zullen doen. Om dan vervolgens zelfs dat APKtje niet te halen.
Mijn donderbruine vermoeden is dat dat rond de 40% zal bedragen. Maar zolang je niet betrapt wordt niets aan de hand, toch?
De eindverantwoordelijkheid voor GDPR-compliance ligt op hoofdbestuursniveau (RvB, GS, B&W, etc.). Daar zullen in beginsel ook de boetes vallen.
Ik zeg ‘in beginsel’, want ik verwacht van de AP een zeer coulante houding.
Hoe dat laatste zich op Europees niveau gaat laten verkopen is de krent in de pap.
Om het simpel te houden zou ik zeggen : maak een crisisplan, zorg dat het 100% dekkend is, einddatum december 2017, zet er 150% budget op, maak de eindverantwoordelijke persoonlijk accountable en maak luid duidelijk dat privacy-inbreuken consequenties op het personele vlak zullen hebben.
Op dit moment wordt het APK-niveau veelal niet gehaald.
Lees vers van de pers : https://www.privacybarometer.nl/nieuws/3905/Schippers:_doorsluizen_medische_gegevens_GGZ_onrechtmatig
Hoezo ‘bewustwording’?!
Helemaal eens.
Een APK’tje is ook niet voldoende omdat het ook gaat om bewustwording en gedrag. Dat klinkt als holle frasen zonder voorbeeld, en het artikel is een prima voorbeeld wat er dan ontstaat. Het betekent ook dat je geen data en dossier van personen op een laptop of usb-stick plaatst die niet goed beveiligd is of de juiste encryptie gebruikt. Ook het versturen van e-mails met bijlagen kan al grote gevolgen krijgen.
In dat opzicht hoop ik dat AP volgend jaar wat shock therapie toepast net als dat met SPAM toen gebeurd is. Een paar voorbeelden stellen zodat iedereen weet dat het menens is.
GDPR is uiteraard ook ingezet als middel om Amerikaanse providers en politiek onder druk te zetten. Want nu is het heel gemakkelijk om te leunen op hun certificaten terwijl de Amerikaanse overheid een EU burger geen rechten op privacy toekent.
Er valt nog genoeg te doen en als de sprong van nu en het goede doen te groot is ben ik bang dat er een realiteitskloof ontstaat tussen de regels en de praktijk. Door dus een paar basis principes op te pakken en aan te vullen met begrijpelijk materiaal kunnen we al een heel eind de goede richting op gaan. Thanks voor je aandacht en delen van je inzicht en ervaring.
Nabrander :
Vandaag (19-04-2017) heeft MinV&J een brochure gepubliceerd getiteld ‘Anticiperen op de Algemene verordening gegevensbescherming. Tien stappen voor een goede voorbereiding’.
(https://www.rijksoverheid.nl/documenten/brochures/2017/04/19/anticiperen-op-de-algemene-verordening-gegevensbescherming)
En ja hoor, Stap 1 is ‘Bewustmaken; maak de omgang met persoonsgegevens tot onderwerp van gesprek. Breng de nieuwe privacyregels onder de aandacht van sleutelfiguren en beleidsmakers van uw organisatie.’
In de hele brochure geen woord over verantwoordelijken.
Dank voor de link. Ik vind het overigens best okee beschreven al is het zeker niet compleet of helemaal duidelijk. Overigens lijkt het ook intern gericht op overige overheden. En wordt zelfs geschreven dat je een privacy officer mag delen?!
Het geeft wel aan dat de hele verordening een kluif is voor de overheid zelf. Ik heb nu nog geen goede stukken gezien die echt op een praktische manier beschrijven wat ze nu verwachten. Maar goed, daar kun je ook niet op wachten.
Dat je een privacy officer mag delen lag bij voorbaat al voor de hand. Het gaat immers om een rol, niet een persoon.
Een ‘hele kluif’? Ja, dat zei ik vorig jaar deze tijd ook al, maar dat is het alleen voor díe organisaties die privacy en beveiliging de afgelopen jaren/decennia hebben laten sloffen.
En dat zijn er nogal wat.
En dat is ook mede de reden dat de GDPR er nu is, en dat die minder aan ‘polderen’ doet en meer aan sancties. En dat de Europese instanties al hebben duidelijk gemaakt niet coulant te willen zijn.
Maar nú nog eens beginnen met ‘bewustwording’ en ‘anticiperen’?
Over een jaar dient men compliant te zijn, dan dienen de resultaten er dus te staan van de acties die men nú onderneemt.
Daar is inmiddels wel een crisisplan voor nodig.
Die sense of urgency blijkt nergens uit de V&J-folder. Een folder die trouwens nogal een knock off is van een ICO-publicatie van ruim één jaar geleden : ‘Preparing for the General Data Protection Regulation (GDPR); 12 steps to take now’ 14/03/2016.
Tóen was werken aan ‘bewustwording’ wellicht nog aan de orde. Maar ruim één jaar later nog eens willen beginnen met ‘bewustwording’ getuigt van bewusteloosheid.
Diverse officiële privacy-organisaties (WP29, EDPS, ICO, IAPP, etc.) zijn al met handleidingen, stappenplannen en richtlijnen gekomen. De Franse DPA zelfs met een complete ’toolkit’ (alleen in het Frans, uiteraard).
Dus met een beetje opletten en zoeken heb je probleemloos requirements en plannen bij elkaar.
En dat is ook het ergerlijke, het is niet ingewikkeld, het wordt ingewikkeld gemáákt.