Voilà. Het is zo ver en we moeten er allemaal aan geloven. De ‘Algemene Verordening Gegevensbescherming’ is van kracht geworden. De AGV is ook bekend onder de naam General Data Protection Regulation of kortweg ‘GDPR’. Die bepaalt hoe ondernemingen, overheden en organisaties moeten omgaan met persoonsgegevens. Dat zijn dus álle gegevens die een natuurlijk persoon kunnen identificeren.
Ik ga u hier niet (weer) proberen uit te leggen wat persoons-herleidbare gegevens zijn. Noch een opsomming geven van de 99 artikels die GDPR behelst. Maar ik wil gewoon eens pragmatisch kijken wat er allemaal als een ware tsunami op ons is af gekomen in de afgelopen maanden. Een van de eerste bemerkingen die ik wil maken is dat GDPR niet plotseling voor de deur stond. Het was al bekend in Januari 2016. Verbazend dat er zo veel bedrijven niks of zeer weinig vanaf wisten. En pas massaal in het laatste half jaar zijn begonnen met orde op zaken te stellen. Misschien wel het beste bewijs dat de meeste organisaties het niet zo nauw nemen met onze privacy en het beveiligen van de gegevens. Of was het toch echt onwetendheid?
Toestemming vragen
Een van de neveneffecten van de invoering bleek het massale aantal aanvragen per mail om u en ik als data subject toestemming te vragen om vanaf 25 Mei nog informatie te bezorgen via de geijkte kanalen. Dit had als gevolg dat uw inbox in de afgelopen laatste weken veel te verduren kreeg. En dat je de ‘echt’ belangrijke berichten niet meer kon terugvinden.
De verlossing is nabij. Immers, indien u niet reageerde op de vraag om toestemming (wat de meeste deden) dan zou uw inbox op goede vrijdag wel eens een turbo afslank cursus kunnen ondergaan en megabytes aan berichten als sneeuw voor de aankomende zomerzon zien verdwijnen. Helaas vrees ik dat het niet zo een vaart zal lopen. De verstokte commerciële activiteiten zullen gewoon doorgaan met of zonder GDPR. Neen, u mag nu al concluderen dat de AVG of GDPR geen anti-spam filter is. Het is een poging tot het respecteren van uw rechten als persoon.
Data Subject
Ondertussen zou men toch moeten weten wat de rechten zijn van het data subject. Dit houdt in dat we vanaf heden kunnen vragen om de gegevens die men over ons verzamelt beschikbaar te stellen in een transparante en voor iedereen leesbare vorm. Ook kan u vragen om vergeten te worden, behalve aan de belastinginspecteur, of als algemene wetgeving in uw land hier anders over beslist.
Denk daarbij aan boekhoudkundige informatie die minstens zeven jaar bewaard moet worden. Dat wil zeggen dat u pas na zeven jaar en één dag kunt nagaan of er boekhoudkundig nog iets over u bekend is bij de desbetreffende organisatie. Maar wie van u zal dit recht in de praktijk gaan toepassen, vraag ik me soms af? Tenzij u er plezier in schept om bedrijven of verenigingen aan het werk te zetten door ze te laten uitzoeken (letterlijk) waar precies uw informatie wordt bijgehouden. Immers die informatie over u is toch al bekend in het systeem. Dus wat maakt het dan nog uit om deze alsnog te laten verwijderen?
Handen vol
Maar misschien heeft u wel valabele argumenten die u graag kenbaar wilt maken en er zullen vast wel bepaalde uitzonderingen zijn. Maar het zijn nu net die uitzonderingen geworden die de regel bevestigen als men GDPR toe wil passen. Ik geef toe dat het wat snel is om conclusies te trekken sinds de algemene verordening gegevensbescherming van kracht is, maar gaan we nu met zijn allen onze rechten laten gelden om uw informatie correct en veilig te laten bewaren bij derden in de Cloud? En wie gaat dit in uw naam straks allemaal controleren? Vast niet de Privacy Commissie zelf want die hebben hun handen nu al vol.
Meldplicht Datalekken
Vanaf 25 Mei dit jaar moeten alle datalekken gemeld worden binnen de EU. De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Maar wanneer gaat het precies om een datalek? En moet je dit dan wel of niet melden aan de autoriteit?
Impact
Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. De Europese toezichthouders hebben guidelines gepubliceerd over de meldplicht datalekken. Deze zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden. Kortom, bij elk datalek is het raadzaam om deze richtlijnen te bekijken om na te gaan of er al dan niet een meldplicht is, wat de toch al vervelende situatie alleen maar verwarrender kan maken.
Echt datalek
In Nederland kent men deze meldplicht al sinds 2016 en het is daarom ook interessant om te zien hoeveel meldingen er zijn gedaan van mogelijke datalekken binnen organisaties. Hieruit leren we dat er in 2017 ongeveer 10.009 meldingen zijn geregistreerd waarvan 47 procent werd veroorzaakt door persoonsgegevens te versturen of af te geven aan een verkeerde ontvanger. Meest voorkomende gelekte gegevens waren onder andere: naam, adres, woonplaats, maar ook geslacht, geboortedatum en/of leeftijd en het rijksregister nummer.
Opvallend is dat er 298 meldingen zijn ingetrokken omdat men achteraf vaststelde dat het geen echt datalek was. Voor de liefhebbers, het volledige rapport kan u hier als pdf downloaden. Het lijkt me duidelijk dat de meldplicht actief is binnen alle deelstaten van de EU, maar wanneer is er een datalek en hoe moet u dit aanmelden? Mocht u nieuwsgierig geworden zijn hoe dit juist in zijn werk gaat neem dan eens een kijkje op de site van de Belgische Privacy Commissie en probeer eens een melding van een (fictieve uiteraard) datalek te registreren. Ik wens u alvast veel succes
Millennium
Van de GDPR non-believers hoor ik vaak de vergelijking met de beruchte millenniumbug tijdens de jaarovergang van 1999 naar het jaar 2000. Die werd ook wel de Y2K bug genoemd. Ook toen zou de wereld vergaan omdat vanaf 1 Januari 2000 geen enkele computer bleef functioneren en we terug naar het stenen tijdperk werden gekatapulteerd. Zo een vaart heeft het gelukkig niet gelopen en de impact was relatief beperkt. Maar om deze situatie te gaan vergelijken met de AVG of GDPR is nogal kort door de bocht. Inmiddels zijn we de 25ste Mei 2018 gepasseerd en is er bij mijn weten tot op heden nog geen enkele boete uitgedeeld.
Sterker nog, de vaststelling is dat onze Belgische Gegevens Beschermings Autoriteit die de boetes moet bepalen en uitreiken zelf ook nog niet klaar is met de uitvoerende werkzaamheden om de nieuwe regelgeving toe te kunnen passen. Wil dit dan zeggen dat u op beide oren kan slapen en u als onderneming niets kan gebeuren? Absoluut niet.
Positief
U zou GDPR ook als positief kunnen benaderen. En de kans kunnen nemen om qua informatie binnen uw bedrijf eens orde op zaken te stellen. Dit kan om te beginnen door eens kritisch naar de hoeveelheid aan data binnen uw organisatie te kijken. En door een data classificatiesysteem toe te passen. Vragen zoals: ‘wie kan er aan deze informatie’? En ‘waar bevindt deze informatie zich’ zijn de eerste goede stappen in de richting om uw informatiebeleid aan te passen. Ook de vraag ‘waarom houden we deze specifieke persoonsgegevens bij en wat doen we ermee als bedrijf’, kan bijdragen om het risico te verlagen bij een eventueel datalek. Immers voorkomen is altijd beter dan genezen.
Eens u orde op zaken hebt gesteld binnen uw bedrijf qua informatiebeveiliging kan u dit kenbaar maken aan de hand van een soort van kwaliteitslabel. Hiermee kunt u de professionele aanpak in het omgaan met persoons-herleidbare gegevens van uw klanten – maar ook die van uw eigen medewerkers – extra in de verf zetten.
Discussies
Het is misschien nu nog te vroeg om de impact van GDPR op onze maatschappij in te kunnen schatten. Naar alle verwachting echter zullen er nog menige discussies worden gevoerd over de uitvoering en opvolging qua veiligheid van uw privacy versus de boetes indien men toch de Algemene Verordening Gegevensbescherming overtreedt.