GDPR: Europa legt dataverwerkers aan de ketting
De EU wordt strenger voor datamisbruik. Wie persoonsgegevens verzamelt en zich niet goed wapent tegen lekken riskeert boetes die in de miljoenen lopen. Waar moet je op letten en wat kan je er aan doen?
Als u een data-lek vaststelt dan heeft u voortaan nog 72 uur vanaf de vaststelling om dat te melden en wie persoonsgegevens wil bewaren, moet kunnen verantwoorden waarom en hoe lang dat nodig is. Europa lijkt met de General Data Protection Regulation (GDPR) paal en perk te stellen aan bedrijven die grenzeloos gegevens verzamelen. Dat wil zeggen dat uw bedrijf zich in de komende twee jaar in regel moet brengen.
De wet geldt in de hele EU, ook op bedrijven daarbuiten die met Europese persoonsgegevens werken. In principe worden er pas binnen twee jaar (25 mei 2018) boetes opgelegd, maar afhankelijk van hoeveel en welke data je bedrijf verwerkt heb je mogelijk een flink deel van die tijd nodig om alles in regel te brengen.
In kaart brengen
“Waar je als bedrijf, organisatie en publieke organisatie mee begint is een assessment. Je schetst een momentopname van hoe je vandaag met data omgaat. Laat je je daarbij ook bijstaan door iemand met kennis van de wetgeving en de nodige it-kennis om de wet te vertalen naar de noden van je bedrijf”, legt Fabienne Lens, regulatory compliance director Europe bij CTG, uit. Haar bedrijf assisteert bedrijven met de wetgeving en het in regel brengen van de dataverwerking.
Tot 10 miljoen euro boete voor wie datalek niet meldt.
“Je moet ook aan vendor management doen en zorgen dat je toeleveranciers en partners in regel zijn. Die spelers moeten ook kunnen bewijzen dat ze in regel zijn. Kunnen of willen ze dat niet, dan moet je voor een andere partij kiezen.” Hetzelfde geldt voor Belgische bedrijven die gegevens naar hun moederbedrijf moeten doorsturen.
Een ander aspect zijn de procedures zelf. “Die moet je uitschrijven waarbij je ook de verantwoordelijkheden van elke speler omschrijft en hoe je reageert op een datalek. Idealiter ga je zo’n datalek ook testen om te kijken wie er moet betrokken worden en hoe de meldingsplicht gebeurt. Eigenlijk zijn het zaken die in de vingers moeten zitten nog voor er zich een echt lek voordoet.”
Lens wijst ook op het belang van training en awareness voor je personeel en het aanduiden van een dpo (data protection officer). “Dat mag iemand in dienst zijn, maar je kan die ook extern zoeken. Wel is het belangrijk dat die persoon onafhankelijk kan reageren en handelen. Dat hoeft geen jurist te zijn, iemand met ervaring in compliance en kennis van it volstaat.”
Hoeveel u in regel moet brengen hangt af van welke data door uw servers loopt. Wie al jaren rigoureus de best practices volgt zal er snel vanaf zijn. Wie dat niet doet of met specifieke gevoelige data werkt heeft mogelijk meer werk. Maar ook nadien is het niet voorbij. “Eens je klaar bent met de voorbereiding blijft het belangrijk om een check-up te doen. Er komen nieuwe mensen in je bedrijf of op hectische momenten wordt al eens een procedure omzeild. Je moet dus wel geregeld controleren. Al heeft dat doorgaans minder voeten in de aarde eens je in regel bent.”
Help, een data-inbreuk!
Een belangrijk punt aan de gdpr is dat de lokale privacyautoriteiten controles kunnen uitvoeren en boetes opleggen. “Dat kan na melding van een datalek of na klachten, maar ook spontane doorlichtingen zijn mogelijk”, legt Lens uit. De boetes focussen op twee soorten inbreuken : wie bijvoorbeeld een datalek niet meldt binnen de 72 uur kan een boete krijgen die oploopt tot 10 miljoen euro of 2 procent van de globale jaaromzet (waarbij men kiest voor het hoogste bedrag van de twee).
De andere boete komt er wanneer je bedrijf bijvoorbeeld meer persoonlijke data verzamelt dan toegelaten. Hier kan de boete oplopen tot 20 miljoen euro of 4 procent van de globale jaaromzet (ook hier kiest men voor het zwaarste van de twee). “Het is koffiedik kijken wat de toekomst zal brengen. Dát er boetes zullen uitgedeeld worden is onoverkomelijk. Zorgen dat je snel een plan hebt is de boodschap.”
Belangrijk om te weten is dat de wetgeving veel belang hecht aan het melden van datalekken en het verantwoordelijk omgaan met gegevens. Maar de monsterboetes gelden niet noodzakelijk voor het datalek zelf. Dat is logisch als je weet dat zowat alles kan gehackt worden. Maar met de nodige maatregelen kan je de impact van zo’n hack wel drastisch minimaliseren.
Mogelijk wil Europa zo ook bedrijven stimuleren om lekken effectief te melden. Pech kan worden vergeven, onvoorzichtigheid niet. Omgekeerd zal de privacy-autoriteit (bij ons momenteel de Privacycommissie) minder mals zijn als blijkt dat een lek kon gebeuren omdat je de opgelegde veiligheidsregels in de wind slaat.
Privacy voorop
De gdpr is al sinds 2011 in de maak, maar in tegenstelling tot een directive is dit een pakket regels die meteen van kracht zijn in heel Europa. Lidstaten mogen de regels hier en daar verstrengen, wat enige lokale variaties met zich mee kan brengen. Zo moet je met gegevens van kinderen tot 16 jaar toestemming krijgen van ouders maar laat Europa de ruimte om dit tot 13 jaar te verlagen.
De wetgeving heeft vooral als doel om burgers meer controle en duidelijkheid te geven. “Het wordt een pak transparanter”, legt Lens uit. “Een bedrijf moet kunnen zeggen welke informatie het verzamelt, bewaart, waar die wordt bewaard en waarom. Data op oude servers die stof liggen te vergaren zijn verleden tijd.”
De regelgeving gaat ook uit van privacy by design en by default. Toestemming van je data-subject moet vrij gegeven en specifiek zijn en je moet de keuze hebben om er niet op in te gaan. Ook moeten bedrijven ook een duidelijke, eenvoudige en begrijpelijke communicatie hebben rond de data die ze verzamelen en verwerken.
Interessant voor gebruikers is dat zij in de toekomst recht hebben om compensatie van zowel de controller als de processor van de data als ze schade leiden door schending van de gdpr.
Ook het recht op vergeten te worden werd in de gdpr aangekaart : in bepaalde gevallen hebben gebruikers het recht om zich te laten verwijderen, of ze mogen hun data van de ene controller naar de andere brengen. Dat wil zeggen dat u als bedrijf moet nadenken over een proces om iemands gegevens vlot en grondig te verwijderen. Maar ook hoe die data eenvoudig kan worden overgedragen naar andere partijen.
De 7 principes van databescherming
– Verwerk data legaal, eerlijk en transparant naar je data-onderwerp (bijvoorbeeld je gebruiker) toe.
– Verzamel enkel voor specifieke, uitdrukkelijke en legitieme doeleinden en verwerk data niet in die mate dat die doeleinden niet meer kloppen.
– Verzamel gegevens op gepaste en relevante wijze en beperk tot wat nodig is in verhouding tot de doeleinden.
– Hou data accuraat en, waar nodig, up-to-date.
– Data-onderwerpen mogen niet langer identificeerbaar zijn dan nodig.
– Verwerk data met gepaste beveiliging voor de persoonlijke gegevens.
– De controller (eigenaar) van de verzamelde data heeft de verantwoordelijkheid om aan te tonen dat hij in regel is met bovenstaande principes.
Fout opgemerkt of meer nieuws? Meld het hier