GDPR (1)

Waar is mijn data?

Na enige maanden voorstudie en colleges in de derde week van 2018, zijn Dirk en ik gecertificeerde Data Protection Officers (DPO) geworden. Daar zijn we heel blij mee! Vanaf nu kunnen organisaties ook op onze hulp en advies rekenen om klanten en werknemers te beschermen tegen het misbruik (inclusief ongewild gebruik) van privédata.

Waar is mijn data? – zorg

Intussen zijn we ook bezorgd. Nu we eigenlijk alles weten over de General Data Protection Regulation (de GDPR, oftewel de Algemene Verordening Gegevensbescherming, de AVG), is enige zorg ook terecht. Vrijwel alle organisaties beschikken over privacygevoelige data van mensen of medewerkers zoals jij en ik. Je naam en adres zijn misschien niet zo spannend, maar je eventuele geloof, geaardheid, etniciteit, gezondheid, politieke activiteit, juridisch verleden en nog veel meer, zijn dat wél. Dat wil je misschien niet overal op straat hebben liggen. Organisaties hebben er dus een grote opdracht van de EU bij gekregen: zorg ervoor dat deze privédata goed beschermd wordt. De wet gaat in op 25 mei 2018. Alleen dit aspect roept al heel veel vragen op, bijvoorbeeld:

Waar is mijn data? – moet je weten!

Waar is die data precies? Data die binnen je eigen organisatie wordt verwerkt, gaat misschien naar derden toe, wordt op USB-sticks van medewerkers mee naar huis genomen, wordt naar externe applicaties als Dropbox, Google Drive of OneDrive gekopieerd voor thuiswerken of blijft op een papier op de printer liggen… data gaat snel overal naartoe:

Je moet onder meer volledig aan kunnen geven waar deze privacygevoelige data precies is (land, organisatie, server). Wat je nog meer continu moet bijhouden, daar ga ik in andere blogs op in.

Waar is mijn data? – letterlijk weten en bijhouden!

De organisatie moet in kaart brengen waar de privacygevoelige data staat. In dit kader gaat het om alle data die tot een identificeerbaar levend persoon terug te leiden valt. Het kan zijn dat de data door andere organisaties elders wordt verwerkt. Denk aan externe salarisadministratie. Die organisaties krijgen privacygevoelige informatie. De organisatie die die ter beschikking heeft gesteld, blijft wel verantwoordelijk. Dat betekent dat je eigenlijk geen informatie meer wilt verstrekken aan organisaties die niet GDPR-compliant zijn. Als ze daar de boel niet voor mekaar hebben, dan kun je als uitbesteder zwaar in de problemen komen.

Maar als die organisatie nu eens in zeg… India zit? Dat de data dus in India wordt verwerkt? India is één van de landen waarvan de GDPR stelt dat ze niet ‘adequaat’ zijn. Dat betekent dat ze andere privacywetgeving hebben die te ver afwijkt van de Europese. Veel organisaties hebben IT-functies uitbesteed aan verre landen. Voldoen die ook aan de criteria? Het betekent dat in die landen de contracten met dergelijke partijen moeten worden verbeterd, anders lukt het niet om te voldoen aan de (wat deze eis aangaat) heldere criteria van de GDPR.

Het is erg complex om handmatig vast te stellen waar de data zit. Er zijn verschillende tools die kunnen helpen bij het in kaart brengen van data. De 20 ‘beste’ staan in dit overzicht, wat een aardig startpunt is voor de oriëntatie op dit hulpmiddel:

https://www.capterra.com/data-governance-software/?utf8=%E2%9C%93&users=&sort_options=Highest+Rated.

Waar is mijn data? – kansen

Nederland is een ‘adequaat’ land. Dat geeft ook nieuwe kansen voor dataverwerkers zoals datacenters. Voorheen hadden dergelijke dataverwerkers weinig verantwoordelijkheden op het gebied van privacygevoelige data. De data waren toch immers van hun klanten? Zolang serviceproviders kunnen garanderen dat de data in Nederland blijft en GDPR-compliant is, hetgeen nog wel wat meer inhoudt dan locatie van de data, geeft dat nieuwe commerciële kansen. Voor de organisaties die onder de wetgeving van de USA vallen, is dat toch een lastig verhaal, ondanks de uitzondering van de GDPR om Amerikaanse organisaties die onder de Privacy Shield regeling zichzelf (!) hebben gecertificeerd, ook toe te staan mits aanvullende zaken (contracten, tijdige vernieuwing certificering, etc ) goed geregeld worden.

Waar is mijn data? – datalek

Als ergens data zoekraken, heb je een datalek. Als dat privacygevoelige data betreft, heb je een korte tijd (72 uur) om dat te melden bij de Autoriteit Privacy. Dat geldt ook voor de weekenden. In een dergelijke melding moet veel worden aangegeven. Zonder volledig te willen zijn: het type data dat is gelekt, de gevoeligheid ervan, wie het mogelijk treft, wat je al hebt ondernomen om het lek te stoppen en een onderzoek te starten en waar de data precies aanwezig was. Dat moet worden voorbereid lang voordat een datalek wordt gevonden. De kans op een datalek is, afhankelijk van het type organisatie, de getroffen veiligheidsmaatregelen (hackers) en het trainingsniveau van de medewerkers, heel erg groot. Denk bijvoorbeeld aan een e-mailtje met privacygevoelige data die per ongeluk naar de verkeerde ontvanger gaat. Dat is al een echt datalek.

Er is onderzocht door verschillende partijen hoeveel datalekken nu eigenlijk worden gemeld. De onderzoeken lopen uiteen, maar verschillende geven percentages aan van 11-14%. De straffen op het achterhouden van dergelijke lekken zijn in het kader van de GDPR zeer pittig: 20M EUR of 4% van het wereldwijde inkomen; welke maar de hoogste is. Dat is vanuit de organisatie geredeneerd. Het belangrijkste is dat UBER, LinkedIn, Yahoo! recent hebben laten zien dat het lekken van persoonsgebonden data zeer grote schade voor de consument veroorzaakt.

Daar is de wet voor bedoeld. Het moet voorkomen dat onze data en die van onze kinderen, en eigenlijk alle data waarvan we vinden dat we er zeggenschap over willen houden, zomaar voor iedereen beschikbaar is.

Werk aan de winkel!

---

Deel op

---