De nieuwe General Data Protection Regulation (GDPR) treedt op 25 mei 2018 in voege. Deze Europese regelgeving vervangt de huidige nationale privacywetgeving en heeft als doel de gegevens van Europese burgers beter te beschermen. Staatssecretaris voor Privacy Philippe De Backer lichtte op uitnodiging van Grant Thornton en HolonCom toe hoe bedrijven zich kunnen voorbereiden.
Philippe De Backer: “Toestemming is de default, maar er zijn uitzonderingen.”
Recht op privacy
Privacy is een mensenrecht en vraagt bescherming van de rechten en plichten van het datasubject (het individu over wie de data gaan). Tevens houdt privacy de controle op dataverwerking in. De databetrokkene heeft het recht om zijn gegevens in te kijken, te laten verwijderen of recht te zetten en eventueel klacht in te dienen.
Met de nieuwe GDPR-verordening worden alle Europese lidstaten qua privacy op dezelfde manier behandeld. Bedrijven die persoonsgegevens – en dat begrip moeten we ruim interpreteren: alle persoonsgegevens – bijhouden of verwerken, moeten aangeven waarvoor zij die gebruiken.
Een nieuwe beschermingsautoriteit zal de huidige Privacycommissie, die overkomt als een minder transparant functionerende organisatie, vervangen. Elk jaar zal die autoriteit een andere sector onder de loep nemen, net zoals dat reeds in Nederland het geval is.
Data risicoanalyse
Data zitten verspreid over verschillende interne afdelingen en externe consultants zoals sociale secretariaten en IT-consultants. Belangrijk is stil te staan bij de locatie waar je persoonsgegevens in de cloud bewaart. Er is een aanzienlijk verschil tussen een provider binnen de EU en daarbuiten, zoals de States. Het individu over wie de gegevens gaan, is de eigenaar van die data. Het bedrijf dat de data beheert, is de verwerker.
Een analyse van de risico’s verbonden aan datastockage is geen overbodige luxe om lekken te voorkomen en hierover beleid uit te stippelen. Bedrijven kunnen maar beter documenteren hoe ‘compliant’ ze zijn. De nieuwe privacy autoriteit zal testen op de toepassing van de beschreven procedures. “Bedrijven moeten durven afscheid nemen van minder relevante data en ook van gegevens op papier die diefstal sneller mogelijk maken. Zij moeten zich goed afvragen wie toegang krijgt tot bepaalde gegevens en hier omzichtig mee omspringen. Ze moeten een register aanleggen met de verwerkingsactiviteiten en alle Inbreuken op die gegevens melden aan de privacy autoriteit en aan de data betrokkene”, stelt Philippe De Backer.
Job met toekomst: DPO
Bedrijven zullen een Data Protection Officer (DPO) moeten aanstellen en hem of haar het werken mogelijk maken. Het is de nieuwe privacy autoriteit die de DPO’s certificeert, de dataverwerkers zal omkaderen en begeleiden en tenslotte ook de gedragscode en guidelines zal uitwerken. Wat de functie van DPO allemaal inhoudt, vind je in de voorlopige beschrijving hier.
Weet als ondernemer welke data voorhanden zijn in je bedrijf
Als voorbereiding op de nieuwe regelgeving is er een aantal vragen die elke ondernemer moet stellen. Welke data zijn beschikbaar? Hoe ga ik mijn klanten aanspreken/bevragen? Waar bewaar of vestig ik de data?
Het Grant Thornton expertenteam van juristen, business risk adviseurs en IT-specialisten helpt bedrijven bij het opstellen van een GDPR risico- en stappenplan.
Robrecht Siera, zaakvoerder HolonCom, had het tijdens zijn presentatie over de beveiliging van persoonsgegevens en concludeerde: “Ondanks alle IT-beveiligingstools die ter beschikking zijn, blijft de mens de zwakste schakel als het op hacking aankomt.”