Wie is er bang voor de grote boze databeschermingswet?
Vier letters volstaan om uw cio zenuwachtig te maken: GDPR. Maar één jaar voor ze in werking treedt is er nog veel onduidelijkheid. Het is daarbij zaak om tijdig actie te nemen, zonder te panikeren als dat niet meteen lukt.
De General Data Protection Regulation treedt op 25 mei 2018 in werking en komt er op neer dat u als bedrijf op een verantwoorde manier moet omspringen met de persoonsgegevens die u bezit. Wie dat niet doet en data verliest, krijgt boetes.
De wet is niet altijd even duidelijk en de praktijk is nog een jaar weg. Dat zorgt zowel op juridisch als technologisch vlak voor veel vragen. Data News schoof daarom aan tafel bij het Bureau voor Normalisatie, dat enkele experts samenzette, en bij Beltug dat samen met Intug, CIOforum en EuroCIO recent een uitgebreide GDPR-sessie organiseerde. Een poging tot licht in de duisternis:
Blijf ik verantwoordelijk als ik dataprocessen heb uitbesteed?
De verantwoordelijkheid bij de GDPR ligt bij de controller (de organisatie die de data bezit) en niet bij de processor (de organisatie die gegevens, in opdracht van de controller, verwerkt). “Controllers hebben een grotere kans om bestraft te worden want de wet slaat direct op hen. Maar hij kan ook indirect op de processor slaan via clausules in het uitbestedingscontract, ” legt Tom Cordier, partner bij juridisch kantoor CMS uit.
U blijft er als eigenaar van de data dus wel verantwoordelijk voor dat die taak correct wordt uitgevoerd. “Als controller kan je verantwoordelijkheid delegeren, maar nooit de aansprakelijkheid”, zegt Jean-Pierre Bernaerts, cio bij Indaver.
Moet ik bestaande outsourcingcontracten herbekijken?
Ja, zeker als ze tot na 25 mei 2018 lopen. “Vertrouw niet zomaar dat je leverancier maatregelen neemt, je moet zelf controleren of dat gebeurt. Soms betekent dat een extra audit, soms volstaat het om hem concrete vragen te stellen, ” zegt Peter Van Dyck, senior associate bij Allen & Overy. “Je moet zelf kijken of wat je supplier aanbiedt in regel is met de GDPR. Doe je dat niet als klant en je supplier is onvoorzichtig, dan ben jij nog altijd verantwoordelijk.”
Krijg ik een boete als ik op 25 mei 2018 niet 100 % in regel ben?
Neen. De boetes zijn een stevige stok achter de deur voor bedrijven die onverantwoord omgaan met data. Nalatigheid wordt bestraft, maar vooral wanneer een bedrijf de wetgeving negeert. “De boetes zijn een beetje de direct marketing tool van Europa en ze werken, want plots luistert iedereen, ” zegt Willem De Beuckelaere, voorzitter van de Belgische Privacycommissie. “Iedereen beseft dat ze moeten mikken op 25 mei 2018 maar het zal uiteraard niet klaar zijn op dag 1, of toch niet tot in detail uitgewerkt.”
De Beuckelaere gaf eerder in een interview in Trends al aan dat hij niet van zin is om vanaf mei 2018 klaar te staan om op elke inbreuk te schieten en dat blijft hij herhalen. “We gaan niet klaarstaan met de kalashnikov. Je moet vooral kunnen aantonen dat je er mee bezig bent. Zit je in die grijze zone dan gaan we nog geen sanctie opleggen maar moet je wel fouten herstellen.”
“Op sommige vlakken gaan we wel heel streng zijn. Als we zien dat een bedrijf data verwerkt met een webtool die niet veilig is, dan wachten we niet. We hebben in het verleden al incidenten gezien waarbij mensen geen idee hebben hoe ze met persoonlijke data om moeten gaan. Daar gaan we wel meteen aan de slag.”
Volstaat het als mijn it- infrastructuur in orde is?
Neen. “Je moet mechanismen hebben om data veilig te houden. Maar mensen die toegang hebben tot persoonsgegevens moeten getraind worden en beseffen dat ze die data mee moeten beschermen. Ook zij moeten dus weten wat wel en niet mag”, legt Tom Cordier van CMS uit.
Die awareness kan op verschillende manieren. Zo vertelt een groot Belgisch bedrijf ons dat ze momenteel interne awareness campagnes opstarten met flyers, een mailadres voor vragen en artikels in het personeelsmagazine. “Ook onze receptioniste moet op de hoogte zijn”, klinkt het.
Volstaat het om ISO-normen te halen?
Neen, maar het helpt. Onder meer ISO 27001 wordt regelmatig aangehaald en slaat op het degelijk organiseren van informatietechnologie, securitytechnieken en information security management systems. Maar ze gaat niet ver genoeg om de hele GDPR af te dekken. “De standaard slaat vooral op information system management, niet op de gedetailleerde controls ervan. Een bedrijf dat ISO 27001 behaalt, kan dus nog problemen hebben maar de norm is wel een stap in de goede richting, ” zegt Bart Kuipers, director bij PwC.
Heb ik op elk van mijn bedrijven een dpo nodig?
In de nieuwe wetgeving heeft elk bedrijf dat met persoonsgegevens omgaat een data protection officer nodig. Maar die dpo hoeft geen werknemer te zijn. Dat wil zeggen dat kleine bedrijven beroep kunnen doen op een externe consultant maar ook dat holdings met vele dochterbedrijven maar één aanspreekpunt nodig hebben.
Moet ik al mijn klanten opnieuw toestemming vragen om hun gegevens te mogen houden?
Hoogstwaarschijnlijk wel. Als u door de GDPR uw privacyovereenkomst of gebruiksvoorwaarden aanpast, dan moeten uw data-subjecten opnieuw hun toestemming geven. Dat kan door hen een formulier te mailen waar ze op ‘OK’ klikken. Evenzeer kan u hen een digitale aangepaste goedkeuring voorschotelen op een iPad wanneer uw vertegenwoordiger bij bestaande klanten langsgaat.
Let op: de toestemming moet expliciet zijn. Dus gebruik geen vooraf aangevinkte vakjes. Niet expliciet weigeren is hier niet hetzelfde als toestemming geven.
Wat moet ik zelf aan mijn klanten/gebruikers zeggen?
Het loont om naar uw eigen klanten of gebruikers transparant te zijn over welke gegevens u verzamelt, waarom u dat doet en hoe lang. Zeker wanneer ze opnieuw akkoord moeten gaan is helderheid een grote troef.
Iemand vraagt om al zijn gegevens te wissen. Moet dat?
Ja, maar er zijn uitzonderingen op het zogenaamde ‘right to be forgotten’. “Het moet, tenzij er een goede reden is om het niet te doen”, legt Peter Van Dyck van Allen & Overy uit. “Als het om een (ex-)werknemer gaat dan moet je misschien veel informatie uit zijn dossier wissen. Maar voor een goed HR-beleid moet je wel een minimum aan data over die persoon behouden.”
Hetzelfde geldt voor data portability: u hebt het recht om te eisen dat data die u zelf ergens hebt ingegeven, kan worden overgedragen naar een andere speler in een gebruikelijk formaat. Maar dat geldt niet voor gegevens die na ingave worden gegenereerd op basis van die input. Ook de data die een werknemer bij werkgever A genereert, kan niet op zijn vraag worden overgedragen naar werkgever B. “Het moet vooral mogelijk zijn om data van één bepaald individu te verwijderen.”
Ik loop een hoog risico op dataverlies, wat nu?
“Er loopt nog een discussie onder Europese privacycommissies of we meldingen moeten ontvangen als er een hoog risico is. Maar eigenlijk moet dat pas als je al een oefening achter de rug hebt om dat risico te verlagen. Is dat risico nadien nog altijd hoog, ga dan eens aankloppen bij je data protection authority, ” zegt Willem Debeuckelaer van de Belgische Privacycommissie.
Datalekken moeten binnen 72 uur gemeld worden. Wat als dat lek al er al weken is?
De 72 uur beginnen pas te lopen zodra de inbreuk wordt ontdekt. Die uren zijn geen werkuren, dus op vrijdagmiddag een incident opmerken en pas dinsdag de autoriteiten inlichten is wel te laat.
Het is daarbij van groot belang om ook met uw it-partners een werkwijze af te spreken om data-inbreuken snel te melden. Als het lek zich bij uw partner voordoet, moet die informatie zo snel mogelijk doorstromen naar uw bedrijf.
Wat moet ik mijn leverancier vragen?
U moet van uw leverancier vooral weten wat hij zelf doet om GDPR-compliant te zijn. Eenvoudigweg vragen of hij GDPR-compliant is, volstaat niet want er is geen afgeronde checklist of auditeerbare norm. Vraag onder meer waar data wordt bewaard, hoe een datalek wordt gemeld, of het bedrijf financieel in staat is om GDPR-compliant te worden en of uw data buiten de EU zit.
Het evenwicht blijft wel lastig. “Je kan de technische competentie van hun werknemers vragen, of hun eigen roadmap naar de GDPR. Maar het heeft weinig zin om te vragen hoe hun security of interne processen exact werken want dat gaan ze niet willen prijsgeven”, legt Jean-Pierre Bernaerts, cio van Indaver uit.
Wel hebben bedrijven er baat bij dat ze zoveel mogelijk dezelfde vragen stellen. Een (dominante) it-speler gaat voor één klant misschien niet zijn aanpak wijzigen of willen duiden welke data in welk datacenter wordt bewaard. Maar als tien klanten die vraag stellen, dan is de druk om mee te werken al iets groter.
Beltug werkt momenteel, in samenwerking met CIOforum, aan zo’n vragenlijst die een zevental categorieën behandelt. De bedoeling is om die vragen tegen 17 mei voor te leggen aan een aantal it-providers en om tegen deze zomer een afgewerkte lijst klaar te hebben. Ook de Privacycommissie heeft op zijn site een stappenplan voor de GDPR gepubliceerd.
Pieterjan Vanleemputten
2017_04_28_14_12_56_65.xml
“We gaan niet klaarstaan met de kalashnikov. Je moet vooral kunnen aantonen dat je er mee bezig bent.” Willem Debeuckelaere, voorzitter van de Privacycommissie
Fout opgemerkt of meer nieuws? Meld het hier