post

Regulation EU2016/679 (General Data Protection Regulation) gaat Richtlijn 95/46/EC vervangen. Doel is om regelgeving tussen de EU lidstaten te harmoniseren en de burger meer controle te geven over persoonlijke data. Deze wetgeving heeft effect op alle bedrijven die (privacy) data verwerken (ook wel PII[1] genoemd) van EU-ingezetenen. Dus ook bedrijven die niet in de EU zijn gevestigd krijgen te maken met deze wetgeving. Uitzondering voor deze regulering wordt gemaakt als de data is verzameld voor nationale veiligheid of voor handhaving van de wet.

In mei 2016 is de regelgeving goedgekeurd en is er een tweejarige overgangsperiode ingegaan. In mei 2018 moet deze nieuwe wetgeving in werking treden. Anders dan voorgaande regelgevingen op privacy gebied, is dit een Europese wet, wat inhoud dat alle lidstaten zich hieraan integraal moeten houden, waar de voorgaande regelingen eerst door iedere lidstaat in wetgeving verwerkt moesten worden. Als je kijkt naar deze GDPR in combinatie met de Nederlandse Wet Meldplicht Datalekken, zie je dat Nederland hiermee al aardig aan het voorbereiden was/is op deze nieuwe Europese regels.

Basis beginselen voor PII gegevens verwerking volgens GDPR:

  • persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verkregen en verwerkt;
  • persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwekt;
  • gegevens moeten correct en actueel zijn;
  • als opslag niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
  • de persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

(bovengenoemde staan ook reeds in het huidige WBP als grondbeginsel)

Als een bedrijf persoonsgegevens wil verwerken moet deze expliciete toestemming krijgen van de betrokken persoon. Impliciete toestemming met vooraf aangevinkte velden in bijvoorbeeld een webpage is niet correct. Een bedrijf dient te kunnen aantonen dat de toestemming is gegeven.

Met de GDPR komen een aantal expliciete rechten voor de personen waarvan gegevens worden geregistreerd:

  • recht om vergeten te worden
  • recht om inzicht te krijgen in opgeslagen gegevens
  • recht om bezwaar te maken tegen bepaalde vormen van verwerking

Voor de verwerkende partijen zijn er echter een aantal zeer belangrijke verplichtingen waarbij hoge boetes kunnen worden uitgedeeld als blijkt dat gegevens niet juist worden beschermd. Zeker in het geval van datalekken kan dit zwaar worden aangerekend.

Niet voldoen aan de regulering kan hoge boetes tot gevolg hebben

Boete: 10.000.000 Euro of 2% van de globale omzet bij geïmplementeerde maatregelen, voor in het in gebreke blijven van:

  • toestemming tot verwerken;
  • Transparantie van informatie en communicatie;
  • Data processing, security, opslag, inbreuk, inbreuk aankondiging; en
  • Overschrijding van bestaande waarborgen en bindende bedrijfsregels.

Boete: 20.000.000 Euro of 4% van de globale omzet bij niet implementeren van maatregelen bij:

  • Data verwerking;
  • Ontbreken van toestemming;
  • Data subject rechten niet respecteren;
  • Non-compliance met GDPR; en
  • Overdracht van data naar derde partijen.

Als er een data lek wordt geconstateerd dient dit binnen 72 uur gemeld te worden aan de lokale DPA (Data Protection Agency) en waar mogelijk ook aan de personen wiens data is gelekt.

In elk land zal er een DPA worden aangesteld, waarbij geldt dat een bedrijf dat in meerdere landen bedrijfsvoering heeft de DPA kan kiezen van z’n hoofdvestiging binnen de EU. De DPA voor Nederland is de autoriteit persoonsgegevens.

Wat moeten bedrijven nu doen?
Binnen een jaar zal de regulering daadwerkelijk wetmatig zijn. Daarom moeten bedrijven zich nu reeds voorbereiden om compliant te worden met deze nieuwe wetgeving. Een belangrijk onderdeel daarvan is om in kaart te brengen welke persoonsgegevens worden verwerkt, hoe en waar. Op basis hiervan kunnen daarna maatregelen worden gezocht in technische, administratieve en contractuele vlakken om het gebruik van de gegevens te reguleren.

Belangrijke technieken die hierbij afgewogen moeten worden zijn:

  • Information Rights Management (classificeren van data en beperkingen hieraan opleggen voor bijvoorbeeld doorsturen/levenduur/geautoriseerde lezers/etc)
  • Verminderen van de geregistreerde gegevens
  • Anonymiseren van gegevens
  • Encrypten van data

Uitdaging
De regelgeving is verplicht voor alle bedrijven die persoonsgegevens verwerken van EU ingezetenen. Ook als dit bedrijf niet in Europa is gevestigd, zal deze er officieel aan moeten voldoen. Hier blijft een uitdaging bestaan, omdat de Europese instanties formeel geen zeggenschap hebben buiten de EU en dus ook niet kunnen afdwingen. Een Chinese web verkoper die gadgets verkoopt aan Europese klanten kan dus niet dwingend worden gestuurd. Zonder enige vorm van dwang blijft het voor dit soort bedrijven voorlopig een ver van mijn bed show. Alleen op hoger politiek niveau kan geprobeerd worden hier wereldwijde afspraken over te maken.

Conclusie
Mei 2018 lijkt nog ver weg, maar de tijd begint te dringen. Als je als bedrijf PII informatie verwerkt (en wie doet dat tegenwoordig niet), dien je je goed voor te bereiden om te zorgen dat je over minder dan een jaar met droge ogen mag zeggen dat je er klaar voor bent. Er zijn vele bedrijven die in het kader van GDPR hun producten aan de man willen brengen. Allen hebben goede bedoeningen, maar willen vooral hun product verkopen. Slechts op het moment dat je inzichtelijk hebt welke gegevens je hoe en waar bewaard ben je in staat te bepalen welk product jou verder zal helpen om aan GDPR te kunnen voldoen.

Voor een heldere uitleg van GDPR regels kan ik volgende website zeer aanbevelen:

https://www.whitecase.com/publications/article/unlocking-eu-general-data-protection-regulation-practical-handbook-eus-new-data

[1] De definitie PII (Personally Identifiable Information): “personal data is any information relating to an individual, whether it relates to his or her private, professional or public life. It can be anything from a name, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer’s IP address.”

Leave a comment