De Europese privacyverordening GDPR die vandaag in Europa van kracht gaat, heeft twee gezichten. Het is een regulerend monsterlijk gedrocht. Maar de GDPR heeft ook een vriendelijk gezicht. De wet is tegelijkertijd ook een vriend die ons beschermd tegen het misbruik van onze gegevens.
Dat vindt Georg Borges, hoogleraar in burgerlijk recht en it-recht, aan de Universiteit van Saarland in het Duitse Saarbrücken. Volgens Borges gaat het nog jaren duren voordat de experts er uit zijn waar de wet eigenlijk voor staat.
Professor Borges maakte deel uit van een discussiepanel over de GDPR, gehouden tijdens de Box World Tour Europe 2018 gisteren in Londen. Als expert in it-recht houdt hij zich onder meer bezig met de privacyzaken, it-beveiliging en certificeringen voor databescherming in cloudomgevingen.
Hysterie
De hoogleraar verbaast zich over de in zijn ogen hysterie die de afgelopen weken is uitgebroken in de aanloop naar de officiële start van de Europese privacyverordening. ‘Krijgt u ook iedere dag talloze e-mails van partijen die opnieuw toestemming vragen voor het ontvangen van een nieuwsbrief?’, vraagt hij aan de aanwezigen. ‘Het is flauwekul. Negeer ze. Dat doe ik althans. Het heeft niets met databeveiliging te maken.’
Bedrijven en organisaties die nu nog voorbereidingen moeten treffen, zijn eigenlijk al zo’n 25 jaar te laat, betoogt hij. ‘Er is al regelgeving over compliance sinds 1990. De GDRP verschilt daar niet zo gek veel van. Het gaat met name om de aanscherping van databeveiliging. Dat is een goede zaak. Daarnaast maakt de GDPR het voor controlers makkelijker om de compliance van de organisatie aan te tonen.’
Meer zorgen maakt hij zich over de complexheid van de GDPR. Dat zorgt nog voor veel onduidelijkheid, interpretatieverschillen en controverses. ‘De nieuwe regelgeving is voer voor discussie tussen experts uit de juridische wereld. Het duurt nog jaren voordat men er over eens is waar de wet precies voor staat.’ Hij wijst bijvoorbeeld op iets als subcontracten, waarbij bedrijven samenwerken met partners rond datagevoelige processen. De GDPR biedt een handvat om die subprocessen te integreren in privacybeleid, maar dat is lang niet voor iedereen duidelijk.
Tip
Voor kleinere bedrijven en organisaties die nog moeten uitzoeken wat de gevolgen van de GDPR voor hun zijn, heeft de hoogleraar nog een tip. ‘Huur geen duur adviesbureau in maar gebruik je gezond verstand. Zet op een of twee pagina’s op een rijtje welke processen in je organisatie met klantdata te maken hebben. Gaat het alleen om een adres van een klant of relatie met bijbehorend e-mailadres, dan loop je een klein risico. Heb je veel klantdata met persoonlijke gegevens, breng dan in kaart wat er mis zou kunnen lopen en pas je procedures daar op aan. Zorg in ieder geval dat je it-beveiliging op orde is, breng je data desnoods onder bij een betrouwbare dienstverlening, en neem een verklaring op dat je je databeveiliging in lijn hebt gebracht de GDPR.’
Er zitten echt totaal bizarre zaken in de AVG. Zo wordt nu ineens een IP-adres zonder meer als identificerend beschouwd. Maar je kunt met een IP-adres alleen een aansluiting identificeren. Als achter die aansluiting een lokaal netwerk zit, waar tientallen personen gebruik van maken, hoe wil je dan nog volhouden dat dat IP-adres “een persoon” identificeert?
Het is volkomen terecht dat het IP adres als identificerend beschouwd wordt. Frank heeft het niet begrepen: in zeer veel gevallen is het IP adres inderdaad identificerend, op zijn minst voor de eigenaar van de aansluiting. Je kan aan het IP adres niet zien of het identificerend is of niet, daarom worden alle IP adressen als zonder meer identificerend beschouwd. Je kan dat niet omdraaien.
En het is terecht dat organisaties het IP adres daardoor niet meer mogen registreren omdat zij niet kunnen aantonen dat voor de (klant)relatie nodig te hebben. De AVG stelt ook dat een organisatie de minimaal benodigde data voor het gestelde legale doel mag vastleggen, en dan alleen nog voor een redelijke periode. Daar valt in verreweg de meeste gevallen het IP adres niet onder. Ook al omdat het niet in alle gevallen identificerend is, zo zie je maar weer…. Stoppen maar met die verzamelwoede.
@Frank
Achter één IP adres kan een bedrijf zitten met 10.000 medewerkers, of 1 enkel persoon in een eenpersoonshuishouden. Doorgaans gaat er 1 gezin schuil achter 1 IP adres. Met dat ene IP adres identificeer je gemiddeld een zeer kleine groep personen, waardoor een IP adres redelijk identificerend is voor een persoon.
Met andere woorden: dit is geen bizarre zaak, een IP adres kan een persoon identificeren, helemaal als je het IP adres koppelt aan zaken die jouw browser allemaal over jou prijsgeeft, zoals besturingssysteem en browsertype en -versie.
Met IPv4 is dat inderdaad zo.
Met IPv6 krijgt ieder apparaat een eigen uniek IP adres (dat was tenminste de bedoeling).
Maar …….. een IP adres is bedoeld om de route van een apparaat, naar een ander apparaat uit te vogelen.
Het is dus bedoeld als adres van een PC (of ander logisch apparaat) en niet om personen mee te identificeren.
Mis ik iets?
Deze discussie is gestart met een zin waarin over bizarre zaken en het ‘IP adres’ wordt gesproken.
Frank realiseert zich blijkbaar niet dat in de GDPR het IP adres alleen ‘als voorbeeld’ is genoemd in de alinea waar gesproken wordt over “Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags”
Het feit dat een ‘online-identificator’ gekoppeld ‘kan’ worden aan een persoon is voldoende om het als identificerend in het kader van de GDPR te beschouwen. Dus ook Mac-adressen, ‘machine fingerprints’ en BlueTooth ID’s en zo vallen er onder.
Bizar dat dit artikel vrijwel alleen kijkt naar data beveiligingsaspecten, amper naar privacy: een bedrijf mag niet meer ‘zomaar’ persoonsgebonden informatie vasthouden omdat ze die toevallig via een klantinteractie heeft gekregen. Ook mag het niet zomaar persoonsgebonden informatie uit verschillende bedrijfsprocessen met elkaar in verband brengen omdat het daar leuke dingen mee kan doen. Het moet noodzakelijk zijn vanuit wettelijk kader of voor verlenen van een door de klant gevraagde de dienst.
Dus ja, de vraag over een nieuwsbrief op een ooit verkregen e-mail adres is volkomen terecht.