De impact van de General Data Protection Regulation op bedrijven en organisaties

Bescherming van privacy is een hot item en dat is niet voor niets. Zoals we allen weten kan het verliezen van persoonsgegevens verstrekkende impact op iemand zijn zakelijke en privéleven hebben. Met name in de zorgbranche en dienstverleningsbranche zijn er in het afgelopen jaar behoorlijk wat in de media geweest. Dit terwijl er een toenemende trend is in het “betalen” van (online) diensten tegen persoonsgegevens en gegevensuitwisseling tussen databases steeds vaker norm dan uitzondering wordt. Om burgers in hun privacy te beschermen is in 2016 de General Data Protection Regulation (GDPR) van kracht gegaan. In dit blog worden er compacte antwoorden gegeven op de vraag wat de GDPR is, wanneer deze van toepassing is voor uw bedrijf, wat de belangrijkste uitgangspunten zijn en hoe er gestart kan worden.

Wat is de GDPR?

De General Data Protection Regulation (GDPR) is Europese wetgeving over de omgang met persoonsgegevens en privacy. Het doel hiervan is het aan de burgers teruggegeven van de grip op persoonsgegevens en het beschermen van de privacy.

Persoonsgegevens zijn hierbij letterlijk alle informatie die gelinkt kan worden aan een identiteit. Dit loopt van patiënt en personeelsnummers en gegevens tot IP-nummers. Eigenlijk zijn geanonimiseerde persoonsgegevens de enige genoemde uitzondering. De belangrijkste gegevens zijn hierbij degene welke schade aan de persoon in kwestie kunnen berokkenen.

Op welke bedrijven en organisaties is de GDPR van toepassing?

In de praktijk is de GDPR van toepassing op praktisch alle bedrijven en organisaties. Dit komt omdat bijna alle organisaties voor hun bedrijfsvoering en dienstverlening diverse soorten persoonsgegevens verwerken. De GDPR legt specifiek de nadruk op twee verschillende rollen welke bedrijven hebben bij de omgang bij persoonsgegevens, namelijk:

  1. Bedrijven en organisaties die in bezit zijn van persoonsgegevens, of de opdracht hebben uitbesteed om persoonsgegevens te verwerken, ook wel de data controllers rol
  2. Bedrijven en organisaties die persoonsgegevens verwerken. Het verwerken loopt van storage, de opslaghandeling tot en met het inzien van de gegevens. Deze bedrijven worden data processors genoemd

Wat zijn de belangrijkste consequenties?

Middels een set aan 99 artikelen worden maatregelen en verplichtingen van technische als organisatorische aard gesteld. Onderstaande punten bevatten een compacte opsomming van de belangrijkste:

  • Nemen van passende technische en organisatorische maatregelen ter bescherming van de privacy. De GDPR legt deze verplichting zowel bij partijen welke in het bezit zijn van de data als welke de data enkel in opdracht verwerken. Een belangrijk aandachtspunt is dat de eigenaar hierbij de hoofdverantwoordelijke is.
  • Privacy by design en Privacy by default. Privacy by design betekent dat bij nieuwe diensten of services privacy meegenomen dient te worden bij de ontwerpkeuzes en criteria. Privacy by default betekent dat standaard de meest strikte privacy settings moeten worden toegepast wanneer er een nieuw product of service wordt geïntroduceerd. Daarnaast dient de persoonlijke data enkel te worden bewaard voor de benodigde tijd voor de dienstverlening of service.
  • Om adequate inzage te verkrijgen in waar de risico`s liggen, stelt de GDPR dat deze ricico`s middels een Data Protection Impact Assesment (DPIA), ook wel Privacy Impact Assesment (PIA), in kaart worden gebracht. Hierbij gaat het hoofdzakelijk om de impact op de privacy, risico`s voor de organisatie en het doel van het project/verwerking. Voortkomend uit de DPIA kunnen aanvullende maatregelen worden genomen.
  • De documentatieplicht is, ten opzichte van de huidige actieve en eerder gerelateerde privacywetgeving, de meest kenmerkende verandering. De documentatieplicht betekent dat organisaties moeten kunnen aantonen wat voor informatie zij opslaan of verwerken, van wie deze data is, waar dit wordt opgeslagen en hoe dit is beveiligd. Op dit laatste vlak gaat het primair over de technische maatregelen, echter kan dit worden aangevuld met organisatorische maatregelen.
  • De GDPR stelt dat de verwerking van persoonsgegeven met een duidelijk doel verbonden en context gebonden dient te zijn. In de praktijk betekent dit dat persoonsgegevens alleen verwerkt mogen worden als er een legitieme doelstelling achter ligt. Overmatige verwerking van persoonsgegevens is niet toegestaan. Bovendien mogen de gegevens niet zonder toestemming gebruikt worden voor de levering van andere producten of diensten.
  • Inzichtelijkheid en het recht om vergeten te worden. Natuurlijke personen hebben volgens de GDPR het recht om in te zien welke gegevens van hen elektronisch zijn vastgelegd en hieruit verwijderd te worden. Voor bedrijven betekent dit dat organisaties niet alleen middels een veilige wijze deze gegevens moeten delen, ook betekent dit dat van organisaties hun informatiehuishouding rondom persoonsgegevens duidelijk en bekend moet zijn.
  • Als bedrijf kan de GDPR-impact hebben op het personeelsbestand. In meerdere gevallen is het namelijk verplicht om een Data Protection Officer (DPO) aan te stellen. Dit is o.a. bij verwerking voor een overheidsorgaan, het bijzondere gegevens betreffen zoals gezondheid, of wanneer er op grote schaal of stelstelmatig gegevens worden verwerkt. De belangrijkste taak van de DPO is het informeren en adviseren over de omgang met persoonsgegevens conform. Deze DPO mag overigens ook in middels inhuur zijn verzaamheden verrichten. Opvallend is dat er momenteel geen eisen worden gesteld ten aanzien van het fte percentage.
  • Bij een datalek van persoonsdata dient een data controller binnen 72 uur na het ontdekken van het datalek, op specifieke wijze, een melding te maken. Daarnaast kan het zijn dat het lek verplicht aan de data objects, ook wel de personen in kwestie, moet worden gemeld. Met name wanneer het lek waarschijnlijk zal resulteren in een hoog risico op inbreuk van de vrijheidsrechten van de persoon.

Wordt er op de GDPR gehandhaafd?

Dat de EU de bescherming van privacy serieus neemt blijkt uit de boethoogte. Deze liggen hoger dan bij de voorgaande wetgevingen. Bij een overtreding is de maximale boete bedraagt 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van het hoogste bedrag is. Per 25 mei 2018 wordt er daadwerkelijk gehandhaafd op de GDPR. Een belangrijk aandachtspunt hierbij is de naleving op de GDPR met terugwerkende kracht.

Hoe te starten?

Organisatie hebben echter nog een jaar totdat er ook daadwerkelijk op gehandhaafd gaat worden. Een DPIA biedt een startpunt voor het inzichtelijk krijgen van waar een organisatie zich op bevindt en welke beveiligingsmaatregelen er nog genomen dienen te worden. Ook is het de eerste stap naar de bewustwording van de risico`s en de te nemen technische en organisatorische maatregelen. Op technisch vlak zijn hier diverse toolings mogelijk zoals Azure Rights Managent, Back-up procedures en governance. Op organisatorisch vlak biedt naast de DPO en het governance, met name adoptie van privay bewust gedrag een belangrijk onderdeel uit van de te nemen stappen.

Bron: General Data Protection. (2016, 26 april). Geraadpleegd op 30 maart, 2017, van http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf