Dag: 26 april 2018

De uitgebreide waarde van data hoeft niet nader te worden toegelicht Dit ‘nieuwe bezit’ wordt mettertijd steeds waardevoller voor organisaties. Regelgevingen die ons dwingen op een goede manier om te gaan met gevoelige, persoonlijke data helpen ons dat wat waardevol is te beschermen.

Achtergrond

Met alle aandacht momenteel gericht op privacy en de mogelijk nieuwe Wet op de inlichtingen- en veiligheidsdiensten (WIV), is men geneigd te vergeten dat ook andere regelgevingen zijn ingevoerd: de Algemene verordening gegevensbescherming, afgekort GDPR. Deze nieuwe wet komt met hoge verwachtingen: wordt dit de nieuwe millenniumbug, of zal dit slechts weer een wet zijn die langzaam in de vergetelheid raakt?

Voor wie is hij relevant?

GDPR werd op 25 mei 2018 actief en verving binnen Nederland de Wet bescherming persoonsgegevens (WBP). Deze laatste werd in 2001 ingevoerd en was gebaseerd op (95/46/EG) Europese richtlijnen.

De GDPR heeft directe gevolgen voor zowel verwerkers als beheerders. Deze termen leiden tot twee andere belangrijke definities: persoonlijke data (1) en verwerking (2).

De belangrijkste veranderingen voor verwerkers

Bang om het volledige Europese wetboek te moeten ontcijferen bij het verwerken van persoonlijke data? Maakt u zich geen zorgen. De nieuwe GDPR kent namelijk veel overeenkomsten met de oude WBP. De drie belangrijkste veranderingen zijn:

De dataverwerkingsovereenkomst

Wanneer een verantwoordelijke externe partij een externe verwerker aanwijst, zal een verwerkingsovereenkomst moeten worden ondertekend. Dit is niets nieuws; deze verplichting bestond al, maar enkel voor de hoofdverantwoordelijke. Na 25 mei 2018, zal de externe verwerker deels verantwoordelijk worden en zal daarom ook de dataverwerkingsovereenkomst moeten ondertekenen. Wat houdt een dergelijke overeenkomst precies in? Er moeten overeenkomsten in staat wat betreft het onderwerp, de duur en het doel van de verwerking, maar ook details omtrent het beveiligen van persoonlijke data. Dit laatste is een toezegging van de verwerker en moet daarom bepaalde voorwaarden bevatten omtrent de vertrouwelijkheid van de data, de deelname aan controles, het handelen in het geval van datalekken alsmede details omtrent technische en organisatorische maatregelen. Dit maakte ook onderdeel uit van de traditionele WBP; de GDPR maakt dit vooral nog concreter.

Territoriale grenzen

Een van de voornaamste veranderingen van de nieuwe GDPR vergeleken met de traditionele WBP is de grootte van de scope. Bijvoorbeeld zelfs wanneer de betrokken verwerkingspartij en verantwoordelijken zich niet fysiek binnen de EU bevinden, zij alsnog aan deze wet moeten gehoorzamen. Dit wordt bepaald door te kijken of de betreffende partij goederen en/of diensten levert aan partijen die zich binnen de EU bevinden, of dat zij het gedrag van deze partijen monitoren voor verkoopdoeleinden. Het is niet van belang of zij binnen de EU gebruikmaken van datacentrums of andere middelen.

Aansprakelijkheid

De gevolgen van het verbreken van de GDPR-wet zijn duidelijk: breken = betalen. Met uitzondering van het feit dat de verwerker bijkomende verantwoordelijkheden heeft, wat betekent dat de scope van de aansprakelijkheid is toegenomen, lijkt deze regelgeving veel op de oude. In het geval dat de GDPR niet geheel naar behoren wordt toegepast, kan een financiële compensatie worden geëist door elke partij die zowel materiële of immateriële schade heeft opgelopen ten gevolge van een wetsbreuk. Ook kan een boete worden opgelegd door de regelgevende instantie (Autoriteit Persoonsgegevens in Nederland). Nieuw is wel het bedrag van de boete. Vanaf nu kan deze boete oplopen tot maar liefst €20 miljoen of 4% van de jaarlijkse globale omzet van het bedrijf waar de wettelijke persoon toe behoort  – welk van de twee hoger is.

De belangrijkste veranderingen voor de verantwoordelijke partij:

Conclusie: blijf kalm, deze wet is slechts een uitbreiding van een reeds bestaande wet en diens voornaamste doel is om onze waardevolste data te beschermen.

• Ambtenaar  verantwoordelijk voor dataverzameling
• Documentatievereisten
• Verplichting om datalekken te melden

Het is wellicht onverwacht, zeker wat betreft een hot item zoals privacy, maar veel van de nieuwe regelgevingen komen overeen met de ouden. De ‘nieuwe’ regelgevingen staan in lijn met wat reeds in Nederland hebben gezien, wat betekent dat het zonder twijfel weer om een millenniumbug gaat. Wanneer we 26 mei 2018 wakker worden, zal de wereld er exact hetzelfde uitzien als vandaag.

Verdere verduidelijking van de begrippen:

1) Persoonlijke data betreft alle informatie omtrent een geïdentificeerd of identificeerbaar natuurlijk persoon. Dit betekent een individu dat kan worden geïdentificeerd bij zijn/haar naam, identificatienummer, locatie-informatie of andere aspecten die de fysieke, economische, culturele of sociale identiteit van een natuurlijk persoon kenmerken. Wees je bewust van het feit dat een bedrijf  niet een natuurlijk persoon is.

2) Onder verwerken wordt verstaan een proces of serie handelingen betreffende persoonlijke data of een hoeveelheid persoonlijke data (bv. door middel van geautomatiseerd verwerken) zoals verzamelen, vastleggen, opslaan, verwijderen of vernietigen van data. De verwerker is degene die deze data verwerkt. Een verwerker doet dit doorgaans voor een ander persoon, de beheerder. Dit is de wettelijke persoon die het daadwerkelijke doel van de dataverwerking bepaalt. Zo kan men bijvoorbeeld denken aan een ziekenhuis dat een IT-bedrijf inhuurt  om hun persoonlijke data op zo’n manier op te slaan dat het gemakkelijk benaderbaar is voor de financiële afdeling om hun salaris te kunnen betalen. In dit geval is het ziekenhuis verantwoordelijk, en binnen het IT-bedrijf de verwerker.

Zodra het verwerken van persoonlijke data een rol speelt, is de GDPR van toepassing. Dit vanwege het feit dat de GDPR van toepassing is in alle EU-lidstaten. Dit ontneemt de regelgevende instanties van de taak om de wetten om te zetten naar nationale regelgevingen. In het geval van een conflict met de nationale wet, overstemt de GDPR.