GPDR – The Day after

door 28 mei 2018

Voilà. Het is zo ver en we moeten er allemaal aan geloven. De ‘Algemene Veror­de­ning Gege­vens­be­scher­ming’ is van kracht geworden. De AGV is ook bekend onder de naam General Data Protec­tion Regu­la­tion of kortweg ‘GDPR’. Die bepaalt hoe onder­ne­mingen, overheden en orga­ni­sa­ties moeten omgaan met persoons­ge­ge­vens. Dat zijn dus álle gegevens die een natuur­lijk persoon kunnen identificeren.

Ik ga u hier niet (weer) proberen uit te leggen wat persoons-herleid­bare gegevens zijn. Noch een opsomming geven van de 99 artikels die GDPR behelst.  Maar ik wil gewoon eens prag­ma­tisch kijken wat er allemaal als een ware tsunami op ons is af gekomen in de afgelopen maanden. Een van de eerste bemer­kingen die ik wil maken is dat GDPR niet plot­se­ling voor de deur stond. Het was al bekend in Januari 2016. Verbazend dat er zo veel bedrijven niks of zeer weinig vanaf wisten. En pas massaal in het laatste half jaar zijn begonnen met orde op zaken te stellen. Misschien wel het beste bewijs dat de meeste orga­ni­sa­ties het niet zo nauw nemen met onze privacy en het bevei­ligen van de gegevens. Of was het toch echt onwetendheid?

Toestem­ming vragen

Een van de neven­ef­fecten van de invoering bleek het massale aantal aanvragen per mail om u en ik als data subject toestem­ming te vragen om vanaf 25 Mei nog infor­matie te bezorgen via de geijkte kanalen. Dit had als gevolg dat uw inbox in de afgelopen laatste weken veel te verduren kreeg. En dat je de ‘echt’ belang­rijke berichten niet meer kon terugvinden.

De verlos­sing is nabij. Immers, indien u niet reageerde op de vraag om toestem­ming (wat de meeste deden) dan zou uw inbox op goede vrijdag wel eens een turbo afslank cursus kunnen ondergaan en megabytes aan berichten als sneeuw voor de aanko­mende zomerzon zien verdwijnen. Helaas vrees ik dat het niet zo een vaart zal lopen. De verstokte commer­ciële acti­vi­teiten zullen gewoon doorgaan met of zonder GDPR. Neen, u mag nu al conclu­deren dat de AVG of GDPR geen anti-spam filter is. Het is een poging tot het respec­teren van uw rechten als persoon.reedt.

Data Subject

Onder­tussen zou men toch moeten weten wat de rechten zijn van het data subject. Dit houdt in dat we vanaf heden kunnen vragen om de gegevens die men over ons verzamelt beschik­baar te stellen in een trans­pa­rante en voor iedereen leesbare vorm. Ook kan u vragen om vergeten te worden, behalve aan de belas­ting­in­spec­teur, of als algemene wetgeving in uw land hier anders over beslist.

Denk daarbij aan boek­houd­kun­dige infor­matie die minstens zeven jaar bewaard moet worden. Dat wil zeggen dat u pas na zeven jaar en één dag kunt nagaan of er boek­houd­kundig nog iets over u bekend is bij de desbe­tref­fende orga­ni­satie. Maar wie van u zal dit recht in de praktijk gaan toepassen, vraag ik me soms af? Tenzij u er plezier in schept om bedrijven of vere­ni­gingen aan het werk te zetten door ze te laten uitzoeken (letter­lijk) waar precies uw infor­matie wordt bijge­houden. Immers die infor­matie over u is toch al bekend in het systeem. Dus wat maakt het dan nog uit om deze alsnog te laten verwijderen?

Handen vol

Maar misschien heeft u wel valabele argu­menten die u graag kenbaar wilt maken en er zullen vast wel bepaalde uitzon­de­ringen zijn. Maar het zijn nu net die uitzon­de­ringen geworden die de regel beves­tigen als men GDPR toe wil passen. Ik geef toe dat het wat snel is om conclu­sies te trekken sinds de algemene veror­de­ning gege­vens­be­scher­ming van kracht is, maar gaan we nu met zijn allen onze rechten laten gelden om uw infor­matie correct en veilig te laten bewaren bij derden in de Cloud? En wie gaat dit in uw naam straks allemaal contro­leren? Vast niet de Privacy Commissie zelf want die hebben hun handen nu al vol.

Impact

Of een datalek gemeld moet worden is afhan­ke­lijk van de (poten­tiële) impact van het datalek op de bescher­ming van persoons­ge­ge­vens en de persoon­lijke levens­sfeer van betrok­kenen. De Europese toezicht­hou­ders hebben guide­lines gepu­bli­ceerd over de meld­plicht data­lekken. Deze zijn bedoeld om orga­ni­sa­ties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden. Kortom, bij elk datalek is het raadzaam om deze richt­lijnen te bekijken om na te gaan of er al dan niet een meld­plicht is, wat de toch al verve­lende situatie alleen maar verwar­render kan maken.

Echt datalek

In Nederland kent men deze meld­plicht al sinds 2016 en het is daarom ook inte­res­sant om te zien hoeveel meldingen er zijn gedaan van mogelijke data­lekken binnen orga­ni­sa­ties. Hieruit leren we dat er in 2017 ongeveer 10.009 meldingen zijn gere­gi­streerd waarvan 47 procent werd veroor­zaakt door persoons­ge­ge­vens te versturen of af te geven aan een verkeerde ontvanger. Meest voor­ko­mende gelekte gegevens waren onder andere: naam, adres, woon­plaats, maar ook geslacht, geboor­te­datum en/of leeftijd en het rijks­re­gister nummer.

Opvallend is dat er 298 meldingen zijn inge­trokken omdat men achteraf vast­stelde dat het geen echt datalek was. Voor de lief­heb­bers, het volledige rapport kan u hier als pdf down­lo­aden. Het lijkt me duidelijk dat de meld­plicht actief is binnen alle deel­staten van de EU, maar wanneer is er een datalek en hoe moet u dit aanmelden? Mocht u nieuws­gierig geworden zijn hoe dit juist in zijn werk gaat neem dan eens een kijkje op de site van de Belgische Privacy Commissie en probeer eens een melding van een (fictieve uiteraard) datalek te regi­streren. Ik wens u alvast veel succes

Millen­nium

Van de GDPR non-believers hoor ik vaak de verge­lij­king met de beruchte millen­ni­umbug tijdens de jaar­over­gang van 1999 naar het jaar 2000. Die werd ook wel de Y2K bug genoemd. Ook toen zou de wereld vergaan omdat vanaf 1 Januari 2000 geen enkele computer bleef func­ti­o­neren en we terug naar het stenen tijdperk werden geka­ta­pul­teerd. Zo een vaart heeft het gelukkig niet gelopen en de impact was relatief beperkt. Maar om deze situatie te gaan verge­lijken met de AVG of GDPR is nogal kort door de bocht. Inmiddels zijn we de 25ste Mei 2018 gepas­seerd en is er bij mijn weten tot op heden nog geen enkele boete uitgedeeld.

Sterker nog, de vast­stel­ling is dat onze Belgische Gegevens Bescher­mings Auto­ri­teit die de boetes moet bepalen en uitreiken zelf ook nog niet klaar is met de uitvoe­rende werk­zaam­heden om de nieuwe regel­ge­ving toe te kunnen passen. Wil dit dan zeggen dat u op beide oren kan slapen en u als onder­ne­ming niets kan gebeuren? Absoluut niet.

Positief

U zou GDPR ook als positief kunnen benaderen. En de kans kunnen nemen om qua infor­matie binnen uw bedrijf eens orde op zaken te stellen. Dit kan om te beginnen door eens kritisch naar de hoeveel­heid aan data binnen uw orga­ni­satie te kijken. En door een data clas­si­fi­ca­tie­sys­teem toe te passen. Vragen zoals: ‘wie kan er aan deze infor­matie’? En ‘waar bevindt deze infor­matie zich’ zijn de eerste goede stappen in de richting om uw infor­ma­tie­be­leid aan te passen. Ook de vraag ‘waarom houden we deze speci­fieke persoons­ge­ge­vens bij en wat doen we ermee als bedrijf’, kan bijdragen om het risico te verlagen bij een eventueel datalek. Immers voorkomen is altijd beter dan genezen.

Eens u orde op zaken hebt gesteld binnen uw bedrijf qua infor­ma­tie­be­vei­li­ging kan u dit kenbaar maken aan de hand van een soort van kwali­teits­label. Hiermee kunt u de profes­si­o­nele aanpak in het omgaan met persoons-herleid­bare gegevens van uw klanten – maar ook die van uw eigen mede­wer­kers – extra in de verf zetten.

Discus­sies

Het is misschien nu nog te vroeg om de impact van GDPR op onze maat­schappij in te kunnen schatten. Naar alle verwach­ting echter zullen er nog menige discus­sies worden gevoerd over de uitvoe­ring en opvolging qua veilig­heid van uw privacy versus de boetes indien men toch de Algemene Veror­de­ning Gege­vens­be­scher­ming overtreedt.

Pin It on Pinterest

Share This