De Europese Algemene verordening gegevensbescherming (GDPR): na de hype

De GDPR, de Algemene verordening gegevensbescherming die begin dit jaar door de Europese Commissie is aangenomen, treedt in mei 2018 in werking. De nieuwe wetgeving is een herziening van de bestaande Europese Richtlijn inzake gegevensbescherming uit 1995 en schept een kader voor de bescherming van persoonsgegevens.

De manier waarop persoonsgegevens worden gedefinieerd, is een belangrijk aspect van de nieuwe wetgeving. In de nieuwe GDPR worden persoonsgegevens gedefinieerd als gegevens aan de hand waarvan een persoon direct of indirect kan worden geïdentificeerd. Dat is nogal een ruime definitie en we verwachten dat deze definitie op den duur nog verder zal worden verruimd. Meer in het bijzonder houdt dit in dat ook IP-adressen, locatiegegevens en andere elementen aan de hand waarvan iemand kan worden geïdentificeerd, onder de nieuwe wet vallen.

De definitie van ‘persoonsgegevens’ geeft een goede indicatie van de teneur van de nieuwe wetgeving: gegevens worden als een waardevol goed beschouwd en in verband daarmee wordt de regelgeving daaromtrent aangescherpt. Het is geen toeval dat dit hand in hand gaat met technologische trends zoals cloud computing, sociale media, mobiel en het Internet of Things, waarbij het verzamelen van gegevens en het verrichten van diepgaande analyses strategisch onderscheidende factoren worden. In die zin is de Europese regelgever bezig een inhaalslag op de realiteit te maken.

Vier elementen van verandering

Als de bestaande wetgeving het fundament voor gegevensbescherming heeft gelegd, dan wordt met de GDPR een solide huis op die fundering gebouwd. In de afgelopen jaren hebben zich diverse ontwikkelingen op het gebied van data privacy voorgedaan – niet in het minst de ongeldigverklaring van het 'Safe Harbor'-verdrag – die tot een grote hype rond de GDPR hebben geleid. Als gevolg daarvan maken veel organisaties zich ernstige zorgen over de nieuwe wetgeving, maar dat is eigenlijk helemaal niet nodig, volgens Kalliopi Spyridaki, Chief Privacy Strategist Europe bij SAS: “De regels zijn nu strenger, maar de basisprincipes zijn hetzelfde als de principes die we al jarenlang kennen. In dat opzicht gaat het bij de GDPR eerder om een herziening van de nalevingsprocedures dan om iets heel nieuws.”

Desondanks noemt Spyridaki vier kernelementen die met de invoering van de GDPR veranderen:

1. Meer handhaving

Met de nieuwe regelgeving wordt de handhaving strenger. De gegevensbeschermingsautoriteiten zullen meer middelen tot hun beschikking hebben en zich verenigen in een nieuw pan-Europees orgaan dat bindend advies geeft. Bovendien zullen de boetes zo hoog zijn – tot 4% van de jaarlijkse wereldwijde omzet van een organisatie – dat de GDPR organisaties in alle bedrijfstakken vanzelf wakker worden geschud. “In Europa kennen we een dergelijk boeteniveau eigenlijk alleen in het mededingingsrecht. De angst voor boetes moet niet de voornaamste reden voor naleving zijn, maar het is wel een reden om nu te gaan opletten. Terwijl data privacy vijf jaar geleden een nalevingskwestie was die nog niet eens de top 10 haalde, staat het nu helemaal boven aan de compliance agenda”, aldus Spyridaki.

2. Betere verantwoording

De GDPR stelt organisaties verantwoordelijk voor de bescherming van persoonsgegevens. Zij dragen de bewijslast wanneer het aankomt op de vraag of, hoe en hoe goed zij persoonsgegevens beschermen. Tegenwoordig geldt er een vrij formele procedure om autorisatie voor gegevensverwerking te krijgen: Wat voor gegevens verwerkt u? Draagt u die over aan andere partijen? In de toekomst zal het veel eerder gaan om hoe goed de bedrijfsprocessen zijn georganiseerd dan om het formeel verkrijgen van autorisatie. In dit verband is het handig om intern dan wel extern iemand te hebben die kennis heeft van data privacy en die weet hoe veranderingen moeten worden aangebracht en hoe de wetgeving moet worden toegepast.

3. ‘Privacy by design’

Elke organisatie zal allereerst de gegevensstromen in kaart moeten brengen. Bij die oefening moet de hele organisatie worden betrokken, want voor ‘privacy by design’ moeten alle afdelingen naar hun data en de verwerking daarvan kijken. Nadat u eenmaal hebt vastgesteld waar de persoonsgegevens zich bevinden en wat u er precies mee doet, moet u ze op de juiste manier beveiligen. “De essentie van de nieuwe data privacy wetgeving is dat u uw data tijdens het volledige traject vanuit een privacy-oogpunt moet bekijken: van productontwikkeling tot en met de toevoerketen en de eindklant. De meeste bedrijven beschikken al over een systeem waarmee ze persoonsgegevens kunnen vaststellen, omdat ze zich al aan de bestaande gegevensbeschermingswetgeving moeten houden. De nieuwe wetgeving dwingt organisaties om deze gegevenscontroles gedetailleerder aan te pakken, maar gelukkig zijn er diverse toepassingen die dit proces kunnen ondersteunen. SAS
is uitstekend in staat om klanten te ondersteunen bij het identificeren en beheren van gegevensstromen om naleving van de GDPR te waarborgen.” 

‘Privacy by design’ veronderstelt ook een grotere transparantie rond gegevens en de overdracht van die gegevens. En u zult waarschijnlijk ook al hebben gehoord van het hete hangijzer van de nieuwe verordening: het ‘recht op vergetelheid’. Dat brengt ons bij de vierde kernfactor in de verandering op het gebied van data privacy: de duidelijke focus op de klant.

4.De persoon staat op de eerste plaats

Omdat de klant in de nieuwe verordening centraal staat, krijgt de klant meer controle over zijn gegevens. Het recht op overdraagbaarheid van gegevens geeft bijvoorbeeld klanten die van e-mailprovider willen veranderen de mogelijkheid om al hun gegevens naar de nieuwe provider over te brengen. Consumenten hebben nu al de mogelijkheid om hun persoonlijke gegevens te laten verwijderen, maar met de GDPR wordt het verwijderrecht uitgebreid met het zogeheten ‘recht op vergetelheid’. “Afgezien van naleving zal de grootste verandering bestaan uit een verandering in de houding die de organisatie ten opzichte van privacy aanneemt. Privacy wordt een zakelijke overweging. Bedrijven moeten het vertrouwen van de klant winnen en een concurrentievoordeel creëren, want klanten hechten zeer aan hun privacy. Bovendien hechten klanten waarde aan eenvoudige en transparante procedures om hun rechten te doen gelden”, merkt Spyridaki op.

Ruim baan voor innovatie

Samen met de vernieuwing van de gegevensbeschermingsregels verschijnen er innovatieve spelers op de markt. Een voorbeeld daarvan is Hoxton Analytics, een geavanceerde ‘mensenteller’ die winkels inzicht in hun klanten geeft zonder dat daar registratie van persoonsgegevens aan te pas komt. Met hun oplossing wordt een ‘slimme’ vloer gegenereerd waarop afbeeldingen van de schoenen van mensen worden verzameld. Wanneer de afbeeldingen worden gecombineerd met machine learning en kunstmatige intelligentie, kan automatisch het aantal mensen worden geteld. Wat nog verrassender is, is dat het systeem ook op een intelligente manier de demografische samenstelling van de bezoekers kan vaststellen op basis van de schoenen die ze dragen en de manier waarop ze lopen.

Samen met de vernieuwing van de gegevensbeschermingsregels verschijnen er innovatieve spelers op de markt.

Spyridaki: “De digitalisering van de wereld heeft een transformerende kracht en ik ben ervan overtuigd dat we in de toekomst nog meer innovatieve oplossingen rond data en privacy zullen zien. Daarmee zullen er ook meer regels worden ingevoerd om mensen meer op hun gemak te stellen met betrekking tot dergelijke innovatieve toepassingen. Gegevensbescherming en privacy bevinden zich nu in een overgangsperiode. Als je de IT-sector vergelijkt met een traditionelere sector, zoals financiële dienstverlening, wordt het vrij duidelijk dat de IT-sector ondergereguleerd is, omdat het in zekere zin een opkomende markt is. Het zal nog een paar jaar duren, maar uiteindelijk zal ook de IT-sector een volwassen, gereguleerde markt zijn.”

Europa is toonaangevend op het gebied van privacywetgeving, maar diverse landen in de wereld bevinden zich op een vergelijkbaar niveau (zoals Canada en Australië), of maken grote vorderingen wat betreft de regelgeving omtrent data. “Het is veel gemakkelijker om data over te brengen naar rechtsgebieden die een adequate gegevensbescherming bieden. We zien een trend in de opkomende economieën, met name in Azië en Latijns-Amerika, die waarde hechten aan de data economie en zich  steeds vaker aan de nieuwe GDPR spiegelen. Maar ook binnen de Europese Unie zal de GDPR voor meer transparantie zorgen en tot meer geharmoniseerde regels leiden. Momenteel wordt de Richtlijn inzake gegevensbescherming verschillend geïnterpreteerd door de EU-lidstaten. Uiteindelijk zal die harmonisatie ook goed zijn voor het bedrijfsleven”, besluit Spyridaki.

Share this article with your network:

Read more about ”Optimize Fraud Detection, Security & Risk”