GDPR: ooit van gehoord?

In 2018 gaat de General Data Protection Regulation (GDPR) van de EU van kracht. Een verordening die de bescherming van persoonsgegevens harmoniseert binnen alle 28 EU-lidstaten. Nieuw is dat deze verordening recente technologische ontwikkelingen als big data, sociale netwerken en de cloud omvat.

De huidige EU-richtlijn inzake gegevensbescherming (95/46/EC) zorgde voor een te grote verscheidenheid binnen de lidstaten en houdt onvoldoende rekening met globalisering en technologische ontwikkelingen zoals sociale netwerken en cloud computing. Tijd dus voor een verregaande harmonisatie van de regelgeving omtrent persoonsgegevens; de GDPR.

Thomas Kramps

Het belangrijkste doel van de GDPR is om de persoonsgegevens van burgers te beschermen. Uitgangspunt daarbij is een grotere verantwoordelijkheid en aansprakelijkheid voor bedrijven en organisaties die persoonsgegevens verzamelen, opslaan en verwerken. Het verzamelen van persoonlijke gegevens door bedrijven en organisaties mag alleen onder strikte voorwaarden en voor een legitiem doel. Een van de kernbeginselen van de EU-verordening is ‘verantwoording’. Organisaties moeten aantonen dat zij voldoen aan de GDPR en dat ze de vereiste maatregelen hebben genomen om deze na te leven. Uw organisatie is daarmee te allen tijde juridisch aansprakelijk voor de bescherming van (ongestructureerde) data, indien deze data verloren raakt, gestolen wordt, aangepast wordt of gebruikt zonder autorisatie.

Dataniveaus

Binnen de regelgeving rondom bescherming persoonsgegevens maakt de EU onderscheid in persoonlijke en speciale gegevens. Persoonlijke data verwijst naar het privé-, professionele of publieke leven van een burger. Dit kan alles zijn: een foto, naam, e-mailadres, bankgegevens, posts op sociale media, functioneringsbeoordelingen, abonnementen, aankopen, opleiding, loginnamen en wachtwoorden, hobby’s en IP-adres. Of in de woorden van de EU: alle data op basis waarvan een individuele burger kan worden onderscheiden binnen een groep. Waarbij moet worden aangetekend dat de EU extra voorzichtigheid eist als het gaat om gegevens van minderjarigen. En dat geldt ook voor data die voor bepaalde mensen een groter veiligheidsrisico met zich meebrengen. De GDPR bestempelt bepaalde persoonlijke gegevens als 'speciale data’. Het is streng verboden om dergelijke gegevens te verwerken, tenzij hier vrijstelling voor is aangevraagd en toegekend. Het gaat dan om gegevens over etnische afkomst, politieke opvattingen, levensovertuiging, genetische gegevens, medische gegevens, seksuele geaardheid en strafrechtelijke gegevens.

Naast de compliancy op het gebied van gegevensbescherming krijgen bedrijven ook nog te maken met het 'recht om vergeten te worden' en de nieuwe privacyprincipes van Data Protection by Design en Data Protection by Default. Data Protection by Design betekent dat nieuwe diensten en bedrijfsprocessen die gebruikmaken van persoonsgegevens, de gegevens volgens de verordening moeten behandelen. Een bedrijf moet dus zelf aantonen dat zij voldoende maatregelen hebben genomen om de verordening na te leven. In de praktijk betekent dit dat een IT-afdeling gegevensbescherming en privacy binnen de gehele levenscyclus van een systeem of proces moet integreren. Data Protection by Default betekent dat de meest strenge databeschermingsinstellingen automatisch van toepassing zijn wanneer een klant nieuwe producten of diensten aanschaft. Met andere woorden, van klanten en gebruikers wordt niet meer verwacht dat ze hun privacy-instellingen handmatig aanpassen.

Standaardrollen

Belangrijk onderdeel van de GDPR is het definiëren van vier standaardrollen bij gegevensbescherming. Elk met hun eigen rechten en plichten. Ik behandel ze hieronder in het kort.

• Controller Een controller is een persoon, rechtspersoon, overheidsinstantie of andere dienst, die het doel en de manier van verwerken van persoonsgegevens beoordeelt. In sommige gevallen is de rol van de controller afgeleid uit de wet of officiële taken van de organisatie, zoals de Belastingdienst. De controller is er verantwoordelijk voor dat een organisatie gegevens op een correcte manier verzamelt, verwerkt en opslaat.
• Processor Dit is een persoon, rechtspersoon, overheidsinstantie of andere dienst, die persoonlijke gegevens verwerkt namens de controller. Het gaat dan vaak om serviceproviders, IT-dienstverleners, hosters en salarisadministratiekantoren. De processor moet de persoonsgegevens verwerken in overeenstemming met de instructies van de controller, en adequate maatregelen nemen om de persoonsgegevens te beschermen.
• Datasubject Dit is het individu van wie de persoonlijke gegevens zijn. De GDPR geeft het datasubject specifieke rechten, zoals het recht om te worden geïnformeerd over de verwerking van gegevens, het recht om toestemming te geven voor de verwerking van persoonsgegevens (opt-in) of bezwaar aan te tekenen tegen de verwerking van persoonsgegevens (opt-out). Daarnaast heeft een datasubject het recht om gegevens op te vragen (recht van toegang) en over te dragen aan een andere partij (dataportabiliteit).
• Supervisor De Data Protection Authority (DPA) is de overheidsinstantie die de GDPR handhaaft op het grondgebied van de lidstaat. Elke DPA heeft brede handhavingsbevoegdheden, met inbegrip van de bevoegdheid om boetes op te leggen.

Dit is de GDPR in het kort. Naast weten dat deze bestaat, is het ook belangrijk om in kaart te brengen, wat deze verordening voor uw organisatie, systemen en processen gaat betekenen. Niet om u bang te maken, maar er is binnen de GDPR een meldingsplicht van inbreuken op de privacy, met een niet misselijke boete van vijf procent van de jaarlijkse omzet van een onderneming. Gevolgd door rigide controle op de manier waarop de onderneming persoonlijke gegevens verzamelt, opslaat, gebruikt en beveiligt. Zo ver wilt u het niet laten komen; tijd voor actie dus.

Een van de bedrijven die ondernemingen helpt zich voor te bereiden op de GDPR in Netskope. Als leverancier van cloud security-diensten ontwikkelde Netskope het Netskope Active Platform, voor discovery, inzicht in en nauwkeurige controle over officieel goedgekeurde en officieuze cloud-apps. Zo managen IT-afdelingen het gebruik van cloudapplicaties en beschermen zij gevoelige (persoons)gegevens – op elk (mobiel) device. De klantenkring van Netskope bestaat onder meer uit bedrijven in de gezondheidszorg, financiële diensten, hightech en retail.

Thomas Kramps is Regional Director Benelux bij Netskope