GDPR, if-then-what else?

door | 5 december 2017

De opkomende overlast van de nieuwe Europese algemene veror­de­ning gege­vens­be­scher­ming doet veel stof opwaaien bij zowel de juri­di­sche als IT afde­lingen binnen bedrijven sinds de deadline van 25 mei 2018 dichter bij komt.

Advo­ca­ten­kan­toren en consul­ting bedrijven nemen nu al de volgende uitspraak in de mond: “Dit is verge­lijk­baar met de gevreesde Y2K bug rond de eeuw­wis­se­ling”, waarbij alle compu­ter­sys­temen er de brui aan gingen geven. Iedereen zag het al lang aankomen maar niemand reageerde tot het moment van de waarheid was aange­broken. Waar­schijn­lijk wachten de meeste bedrijven momenteel nog geduldig af tot de 1ste januari 2018, want dan zijn er nieuwe budgetten beschik­baar om het GDPR probleem op te lossen.

Verza­melen en verwerken

Eerst nog even uw geheugen opfrissen, de EU Algemene Veror­de­ning Gege­vens­be­scher­ming is een document van 88 pagina’s met 99 artikelen en 173 “Over­we­gingen.” Als het van kracht wordt, is het van toepas­sing op elke orga­ni­satie die gegevens verzamelt of verwerkt over personen die in de 28 lidstaten van de Europese Unie wonen en niet-Euro­pe­anen die zich in de EU bevinden. Hier volgen enkele van de meer zichtbare vereisten die reeds bekend zijn:

U moet binnen de 72 uur aangifte doen van een datalek. Als bedrijf heeft u slechts drie dagen om het bekend te maken aan de gegevens bescher­mings­au­to­ri­teit (GBA) en de schending vast te laten stellen.

Hiervoor zal u onder andere moeten uitleggen, 1) Hoe het datalek is kunnen ontstaan en 2) Welke maat­re­gelen u zal nemen om te voorkomen dat het opnieuw kan gebeuren. En 3) Bepaal hoe en wanneer u gaat commu­ni­ceren naar de betrokken partijen.

Vergeten worden

-Artikel 17, het recht om vergeten te worden. Elke inge­ze­tene van de EU kan van elke orga­ni­satie een volledige lijst opvragen van alle gegevens die zij over hem of haar in hun bezit hebben. Bovendien kunnen ze eisen dat deze gegevens worden gewist. De gegevens-verza­me­laar en/of gegevens-processor heeft 30 dagen de tijd om te reageren.

Moet u een func­ti­o­naris voor gege­vens­be­scher­ming (DPO) inscha­kelen? Deze vraag veroor­zaakt veel discussie. En kunnen we gemaks­halve de CISO de DPO-titel geven? (Antwoord is nee). Kunnen we de rol van DPO dan uitbe­steden? (Kan zijn maar is nog niet helemaal zeker). En waar vinden we iemand die de privacy van gegevens, de veilig­heid van uw data en alle juri­di­sche dingen begrijpt? (Goede vraag.)

Een van de vaak over het hoofd geziene aspecten van GDPR is dat het enkele zeer losstaande uitspraken heeft over de adequate bevei­li­ging rond priva­cy­ge­ge­vens. Termen als ‘state of the art’ zijn omstreden, en opent de vraag tot discussie voor iedere advocaat.

Boetes en GDPR

Maar hoe zit het eigenlijk met de boetes bij niet-naleving van de algemene veror­de­ning gege­vens­be­scher­ming? Stel u eens de volgende vraag: “twintig miljoen euro of vier procent van de wereld­wijde inkomsten van uw bedrijf, maar welke van de twee is het grootst?” Laten we dit gegeven eens in perspec­tief plaatsen: 4% van Amazon’s inkomsten (over 2016) zou 5,44 miljard dollar zijn en van Google is dit $3,6 miljard dollar, Facebook $1,1 miljard dollar en van Netflix, slechts $352 miljoen dollar. U kunt zelf eens de bere­ke­ning doen voor uw eigen bedrijf.

Maar wat zouden de onbe­doelde gevolgen kunnen zijn van het opleggen van deze nieuwe regel­ge­ving op een van de meest winst­ge­vende indu­strie­takken van onze wereld­eco­nomie, in het bijzonder de tech­no­lo­gi­sche sector? Ten eerste zullen de kosten stijgen, waardoor de winst­ge­vend­heid daalt met als gevolg minder winst en dus minder inves­te­ringen, minder startups en een lang­za­mere groei van deze sector.

Start-ups

Nog een gevolg zou kunnen zijn dat GDPR de toegang tot tech­no­logie voor inwoners en bedrijven in Europa zal kunnen gaan beperken. Veel appli­ca­ties worden tegen­woordig gemaakt door kleine bedrijven die op hun beurt heel wat persoon­lijke infor­matie verza­melen. Elke internet-startup droomt ervan om hun eerste miljoen gebrui­kers aan zich te binden en trachten dit te bereiken door viraal te gaan met goedkope, vaak gratis software. Hun business model is het verza­melen van uw gegevens gebruik makende van Big Data om waarde te creëren.

Maar nu vallen ze dus ook onder GDPR omdat ze persoon­lijke gegevens over inge­ze­tenen van de EU zullen bezitten en verwerken. De definitie van persoon­lijke gegevens omvat onder andere ook uw IP-adres, geo-locatie, huisadres en e-mailadres, die ook zullen worden verzameld. Hiervoor zal de internet-startup dus toestem­ming moeten gaan vragen aan elke gebruiker.

Digitale grenzen

Een manier om dit te vermijden is gewoon geen gegevens over inge­ze­tenen van de EU meer verza­melen. Dat kan door de gebruiker op een knop te laten klikken waarbij ze beweren dat ze niet in de EU wonen voordat de app zal worden geïn­stal­leerd. Of ze gebruiken uw geo-locatie om de app volledig te blokkeren.

Het gevolg hiervan zou kunnen betekenen dat elke Europeaan zichzelf zal afsnijden van de nieuwste software ontwik­ke­lingen. Wilt u bijvoor­beeld de nieuwste bevei­ligde commu­ni­catie-app instal­leren? Sorry, dat zal niet (meer) gaan. Hoe zit het met die nieuwe zakelijke app voor het beheren van contacten of uw admi­ni­stratie? Niet beschik­baar in de EU, alleen mensen buiten Europa kunnen er gebruik van maken.

Dit zal wel eens een groot probleem kunnen worden voor Europa. Begrijp me niet verkeerd want ik ben zelf groot voor­stander van het verstandig om te gaan met persoons herleid­bare gegevens en de veilig­heid van data opslag in het algemeen. Maar als de Privacy commissie de regels volgens GDPR letter­lijk zal toe gaan passen, kunnen er nieuwe digitale grenzen ontstaan waar het internet en u als consument niet op zitten te wachten.

Pin It on Pinterest

Share This