GDPR, if-then-what else?
De opkomende overlast van de nieuwe Europese algemene verordening gegevensbescherming doet veel stof opwaaien bij zowel de juridische als IT afdelingen binnen bedrijven sinds de deadline van 25 mei 2018 dichter bij komt.
Advocatenkantoren en consulting bedrijven nemen nu al de volgende uitspraak in de mond: “Dit is vergelijkbaar met de gevreesde Y2K bug rond de eeuwwisseling”, waarbij alle computersystemen er de brui aan gingen geven. Iedereen zag het al lang aankomen maar niemand reageerde tot het moment van de waarheid was aangebroken. Waarschijnlijk wachten de meeste bedrijven momenteel nog geduldig af tot de 1ste januari 2018, want dan zijn er nieuwe budgetten beschikbaar om het GDPR probleem op te lossen.
Verzamelen en verwerken
Eerst nog even uw geheugen opfrissen, de EU Algemene Verordening Gegevensbescherming is een document van 88 pagina’s met 99 artikelen en 173 “Overwegingen.” Als het van kracht wordt, is het van toepassing op elke organisatie die gegevens verzamelt of verwerkt over personen die in de 28 lidstaten van de Europese Unie wonen en niet-Europeanen die zich in de EU bevinden. Hier volgen enkele van de meer zichtbare vereisten die reeds bekend zijn:
U moet binnen de 72 uur aangifte doen van een datalek. Als bedrijf heeft u slechts drie dagen om het bekend te maken aan de gegevens beschermingsautoriteit (GBA) en de schending vast te laten stellen.
Hiervoor zal u onder andere moeten uitleggen, 1) Hoe het datalek is kunnen ontstaan en 2) Welke maatregelen u zal nemen om te voorkomen dat het opnieuw kan gebeuren. En 3) Bepaal hoe en wanneer u gaat communiceren naar de betrokken partijen.
Vergeten worden
-Artikel 17, het recht om vergeten te worden. Elke ingezetene van de EU kan van elke organisatie een volledige lijst opvragen van alle gegevens die zij over hem of haar in hun bezit hebben. Bovendien kunnen ze eisen dat deze gegevens worden gewist. De gegevens-verzamelaar en/of gegevens-processor heeft 30 dagen de tijd om te reageren.
Moet u een functionaris voor gegevensbescherming (DPO) inschakelen? Deze vraag veroorzaakt veel discussie. En kunnen we gemakshalve de CISO de DPO-titel geven? (Antwoord is nee). Kunnen we de rol van DPO dan uitbesteden? (Kan zijn maar is nog niet helemaal zeker). En waar vinden we iemand die de privacy van gegevens, de veiligheid van uw data en alle juridische dingen begrijpt? (Goede vraag.)
Een van de vaak over het hoofd geziene aspecten van GDPR is dat het enkele zeer losstaande uitspraken heeft over de adequate beveiliging rond privacygegevens. Termen als ‘state of the art’ zijn omstreden, en opent de vraag tot discussie voor iedere advocaat.
Boetes en GDPR
Maar hoe zit het eigenlijk met de boetes bij niet-naleving van de algemene verordening gegevensbescherming? Stel u eens de volgende vraag: “twintig miljoen euro of vier procent van de wereldwijde inkomsten van uw bedrijf, maar welke van de twee is het grootst?” Laten we dit gegeven eens in perspectief plaatsen: 4% van Amazon’s inkomsten (over 2016) zou 5,44 miljard dollar zijn en van Google is dit $3,6 miljard dollar, Facebook $1,1 miljard dollar en van Netflix, slechts $352 miljoen dollar. U kunt zelf eens de berekening doen voor uw eigen bedrijf.
Maar wat zouden de onbedoelde gevolgen kunnen zijn van het opleggen van deze nieuwe regelgeving op een van de meest winstgevende industrietakken van onze wereldeconomie, in het bijzonder de technologische sector? Ten eerste zullen de kosten stijgen, waardoor de winstgevendheid daalt met als gevolg minder winst en dus minder investeringen, minder startups en een langzamere groei van deze sector.
Start-ups
Nog een gevolg zou kunnen zijn dat GDPR de toegang tot technologie voor inwoners en bedrijven in Europa zal kunnen gaan beperken. Veel applicaties worden tegenwoordig gemaakt door kleine bedrijven die op hun beurt heel wat persoonlijke informatie verzamelen. Elke internet-startup droomt ervan om hun eerste miljoen gebruikers aan zich te binden en trachten dit te bereiken door viraal te gaan met goedkope, vaak gratis software. Hun business model is het verzamelen van uw gegevens gebruik makende van Big Data om waarde te creëren.
Maar nu vallen ze dus ook onder GDPR omdat ze persoonlijke gegevens over ingezetenen van de EU zullen bezitten en verwerken. De definitie van persoonlijke gegevens omvat onder andere ook uw IP-adres, geo-locatie, huisadres en e‑mailadres, die ook zullen worden verzameld. Hiervoor zal de internet-startup dus toestemming moeten gaan vragen aan elke gebruiker.
Digitale grenzen
Een manier om dit te vermijden is gewoon geen gegevens over ingezetenen van de EU meer verzamelen. Dat kan door de gebruiker op een knop te laten klikken waarbij ze beweren dat ze niet in de EU wonen voordat de app zal worden geïnstalleerd. Of ze gebruiken uw geo-locatie om de app volledig te blokkeren.
Het gevolg hiervan zou kunnen betekenen dat elke Europeaan zichzelf zal afsnijden van de nieuwste software ontwikkelingen. Wilt u bijvoorbeeld de nieuwste beveiligde communicatie-app installeren? Sorry, dat zal niet (meer) gaan. Hoe zit het met die nieuwe zakelijke app voor het beheren van contacten of uw administratie? Niet beschikbaar in de EU, alleen mensen buiten Europa kunnen er gebruik van maken.
Dit zal wel eens een groot probleem kunnen worden voor Europa. Begrijp me niet verkeerd want ik ben zelf groot voorstander van het verstandig om te gaan met persoons herleidbare gegevens en de veiligheid van data opslag in het algemeen. Maar als de Privacy commissie de regels volgens GDPR letterlijk zal toe gaan passen, kunnen er nieuwe digitale grenzen ontstaan waar het internet en u als consument niet op zitten te wachten.
