Op 14 april 2016 keurde het Europees Parlement de GDPR goed, de General Data Protection Regulation of de Algemene Verordening Gegevensbescherming. Een cruciale datum voor privacy en dataprotectie in de Europese Unie (EU). Meer dan vier jaar is er aan gewerkt en op 25 mei 2018 is de Verordening ook officieel van toepassing. Maar wat is nu echt de impact van de GDPR?
Er bestaat op Europees niveau al sinds 1995 een richtlijn rond privacy die door alle lidstaten werd omgezet in nationaal recht. Deze Data Protection Directive (1995/46/EG) bepaalt hoe en onder welke voorwaarden bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden. Een richtlijn die in het huidige digitale tijdperk compleet achterhaald was en die ook te veel willekeur voor interpretatie door de verschillende lidstaten toeliet, precies omdat het maar een richtlijn was.
‘De GDPR daarentegen is geen richtlijn maar een nieuwe wet voor de verwerking van persoonsgegevensregels, Europees maar met een globale impact’, zegt Fabienne Lens, director regulatory compliance Europe bij ict-dienstverlener CTG en een autoriteit op het vlak van privacy en dataprotectie. ‘Elk bedrijf dat persoonsgegevens van Europese burgers verwerkt, moet aan die regels voldoen. Die regels beschrijven wanneer en hoe je persoonsgegevens mag gebruiken, wie toegang tot die gegevens mag hebben en hoe je die naar niet-Europese landen mag versluizen. De verordening voorziet ook in serieuze boetes voor wie zich niet aan die regels houdt.’
Eenvormig en wereldwijd
Voorheen waren er toch wel serieuze verschillen tussen de lidstaten, gaat Lens verder. ‘Die Europese richtlijnen waren niet meer dan richtingaanwijzers die vertaald werden naar een nationale wetgeving per lidstaat, met uiteenlopende resultaten, en dat zette een rem op de groei van de digitale markt. Door die regels nu over al die lidstaten te harmoniseren met de GDPR hoopt Europa het vrije verkeer van persoonsgegevens mogelijk te maken en tegelijkertijd de Europese burgers beter te beschermen. Belangrijk daarbij is vooral dat de verordening ook een impact heeft op niet-Europese organisaties. Vanaf het moment dat er persoonsgegevens van Europese burgers in zitten, moet elke organisatie aan de wet voldoen, ongeacht waar het zich ter wereld bevindt.’
Fabienne Lens geeft toe dat er hier en daar nog wel minieme verschillen tussen de lidstaten kunnen opduiken. ‘Zo stelt de GDPR bijvoorbeeld zestien jaar als een grens waarop kinderen zelf akkoord kunnen gaan om hun gegevens te laten verwerken, maar in sommige landen ligt die leeftijd op dertien jaar. Bepaalde nationale wetgevingen die strenger zijn dan de GDPR, mogen die specifieke wetgeving ook behouden en implementeren, zoals bijvoorbeeld een wet voor patiëntgegevens. Maar algemeen wordt gesteld dat deze verordening voor een consistent wetgevend kader moet zorgen dwars over alle EU-lidstaten heen.’
Veel werk
Het vervangen van de lappendeken van nationale wetten zou volgens de Europese Commissie een besparing van zo’n 2,3 miljard euro per jaar moeten opleveren. Bovendien komt voor de bedrijven nu het ‘one-stop-shop’ mechanisme bovendrijven. Voortaan krijgen ze in principe maar met één enkele toezichthouder te maken om af te rekenen in plaats van 28, waardoor het voor hen eenvoudiger en goedkoper zal worden om in de EU zaken te doen. Lens: ‘Maar we kunnen niet ontkennen dat de nieuwe verordening voor veel organisaties ook een pak werk zal meebrengen. Elk bedrijf zal zijn veiligheidsprocedures strikt moeten implementeren en herevalueren. Het moet ook een register bijhouden van alle persoonsgegevens, wat het bewaart, met welk doel, hoe lang, op welke manier, et cetera. Er zijn bijvoorbeeld veel bedrijven die persoonsgegevens eindeloos bijhouden in een vergeten databank. Dat zal in de toekomst niet meer kunnen. En het is niet genoeg dat je de stekker eruit trekt, de gegevens moeten dan ook echt vernietigd worden.’
Voor Fabienne Lens lijdt het geen twijfel: veel bedrijven en organisaties gaan het dan ook zien als een blok aan hun been, want het komt allemaal bovenop hun huidige operationele taken. ‘Het is immens en het gaat tijd en geld kosten. Maar je hebt twee jaar. Er is nog nooit een Europese wet geweest die qua draagwijdte en diepte zo uniform geregeld werd, en als je een goed plan hebt en een doorlichting doet waarbij je goed in kaart brengt wat je moet doen, dan ben je al een heel eind op weg. Maar het is wel zo dat de regelgevers, de Autoriteit Persoonsgegevens in Nederland en de Privacycommissie in België, verwachten dat de bedrijven nu al starten, zodat ze binnen die termijn zeker klaar zijn.’
Serieuze boetes
In Nederland is daartoe op 1 januari van dit jaar alvast een aanzet gegeven met de invoering van de Meldplicht Datalekken. Immers, zodra de GDPR van kracht is, moeten datalekken altijd binnen 72 uur worden gemeld, zowel aan de regelgever als aan het betrokken individu. Gebeurt dat niet, dan kunnen er zware sancties volgen. ‘Wie nalaat correct zijn datalek te melden, riskeert een sanctie van tien miljoen euro of 2 procent van zijn wereldwijde jaaromzet, waarbij altijd gekozen wordt voor het zwaarste bedrag van de twee’, verduidelijkt Fabienne Lens. ‘En wie bijvoorbeeld meer persoonsgegevens verwerkt dan nodig, kan die boete zien oplopen tot twintig miljoen euro of 4 procent van zijn wereldwijde jaaromzet, telkens de hoogst mogelijke sanctie.’
En er is volgens Lens nog een ander duidelijk verschil met vroeger. ‘Als je toen een klacht neerlegde, moest je bijna kunnen bewijzen dat je fysieke of materiële schade had geleden. Nu is dat niet meer nodig, het feit dat je vandaag bij wijze van spreken een pruillip trekt, is voor de regelgevers al voldoende om een onderzoek op te starten. Meer nog, er hoeft zelfs geen klacht of incident te zijn, de regelgevers kunnen ook gewoon zomaar een doorlichting beginnen.’
Twee nieuwe concepten
Een en ander kan je voorkomen door twee nieuwe concepten van de GDPR correct toe te passen: Privacy by design en Privacy by default. Het eerste betekent dat je van bij de start van het design van nieuwe verwerkingen de bescherming van persoonsgegevens moet inbouwen, eerder dan in een later stadium een product of dienst proberen aan te passen. Het tweede houdt in dat de verwerking standaard de privacy maximaal moet waarborgen zonder dat er van de gebruiker nog bijkomende stappen worden verwacht. Organisaties worden aldus verplicht een intern privacybeleid uit te werken en ook een verantwoordelijke voor de gegevensbescherming aan te stellen wanneer die verwerking een regelmatige monitoring van alle data op grote schaal vereist. ‘Dat betekent echter niet dat elk bedrijf nu verplicht wordt een data processing officer (dpo) te hebben, tenzij je echt zeer grote gegevensverzamelingen hebt met veel medewerkers of een groot klantenbestand, of wanneer je met gevoelige informatie werkt zoals in de gezondheidssector’, zegt Lens. ‘Overheidsinstellingen daarentegen zijn wél verplicht een dpo aan te stellen. Als je de geschikte mensen in huis hebt om die rol te vervullen, dan mag je intern iemand aanduiden als dpo. Idealiter is dat dan iemand die de wetgeving kan vertalen naar de noden van het bedrijf en liefst ook een degelijke it-kennis heeft, want het hoeft geen betoog: die data zitten in it-systemen. Heb je zo iemand niet, dan kan je een derde partij hiervoor inschakelen. Het belangrijkste daarbij is niet alleen die gecombineerde kennis, maar ook de onafhankelijke positie. Of het nu een externe persoon is of een intern iemand die elke dag totaal iets anders doet maar daarbovenop de rol van dpo toebedeeld krijgt, hij zal altijd rechtstreeks rapporteren aan de ceo of de raad van bestuur omwille van de onafhankelijkheid.’
Mkb
Dan rijst de vraag: kan een organisatie uit het mkb dit wel aan? Fabienne Lens: ‘Het probleem vandaag is dat veel bedrijven, ook in het mkb, onvoldoende hun dataflow kennen. De data-overdracht vereist in eerste instantie dat je weet hoe het in elkaar zit; waar zitten mijn data, wat kan ik ermee doen en kan ik alles er snel uithalen zonder mijn eigen systeem volledig als een kaartenhuis in elkaar te laten storten? Maar als je überhaupt niet weet welke data je binnenhaalt, hoe je ze verwerkt, in welke systemen ze allemaal zitten, dan heb je problemen. Of je nu groot of klein bent, je moet voldoen aan de wet. Het is voor veel bedrijven alleszins een kans om alles eens op een rijtje te zetten.’
Het belangrijkste gevolg van de GDPR voor de burger is dat hij meer controle krijgt over zijn persoonlijke gegevens. Niet alleen krijgt hij gemakkelijker toegang tot zijn data, maar bovendien moeten zijn gegevens ook zonder problemen overdraagbaar worden gemaakt wanneer hij bijvoorbeeld van serviceprovider wil wisselen. En minstens even belangrijk: de gebruiker kan nu ook aanspraak maken op het ‘recht om vergeten te worden’. Als hij niet langer wenst dat zijn data worden gebruikt en verwerkt, dan kan hij eisen dat ze worden vernietigd. Dat betekent dat organisaties er voor moeten zorgen dat ze ook in de nodige procedures voorzien om aan die eis te kunnen voldoen.
Wettelijk kader
Is dit nu het einde van alle privacydiscussies? Nee, zeker niet. Op dit moment is het bijvoorbeeld moeilijk in te schatten welke impact big data-stromen en het internet of things op het hele privacygebeuren zullen hebben. Denk maar even aan wat er kan of moet gebeuren met de massale dataflows die auto’s zonder bestuurder zullen genereren. Maar het allerbelangrijkste is dat er nu een wettelijk kader gecreëerd is, één pan-Europese wet waar alle bedrijven en organisaties zich aan hebben te houden, ongeacht waar ze zich bevinden.
Dit artikel is ook gepubliceerd in Computable Magazine 7, 9 september 2016
Fabienne Lens is sinds 2007 regulatory compliance director Europe bij CTG. Zij geeft leiding aan een team van ongeveer vijftig consultants die gespecialiseerd zijn in regelgeving en kwaliteit. Lens houdt zich bezig met de ontwikkeling van het dienstenportfolio en verbetert de service delivery door het service management-proces voor alle diensten en oplossingen te harmoniseren.