Het belang van General Data Protection Regulation voor organisaties

Het belang van General Data Protection Regulation voor organisaties

Het Bureau voor Normalisatie organiseerde op 9 februari 2017 een evenement over hoe de General Data Protection Regulation (GDPR) opportuniteiten kan bieden voor organisaties. Aan het woord kwamen Tom De Cordier (CMS Belgium), Jan De Meyer en Bart Kuipers (PwC) en Willem Debeuckelaere, Voorzitter van de Belgische Privacycommissie.

GDPR is een legaal kader dat in heel Europa geldt om de persoonlijke gegevens van Europese burgers beter te beschermen. Door de uiteenlopende interpretatie van de vorige wetgeving, moesten organisaties voorheen rekening houden met wel 28 verschillende raamwerken rond databescherming. Hoewel deze wetgeving sinds 25 mei 2016 in werking is getreden, zullen deze Europese regels pas vanaf 25 mei 2018 toegepast worden.

De implementatie van GDPR is een hele uitdaging, maar even goed een opportuniteit voor veel bedrijven, non-profit organisaties en overheden.

Hoe kan GDPR helpen? 

De implementatie van GDPR: risico’s als uitgangspunt

Volgens Tom De Cordier, partner van CMS, belangt GDPR zo goed als alle organisaties aan. GDPR gaat over het verzamelen, verwerken, beheren en beschermen van persoonsgegevens. Dit is informatie die een persoon identificeert, zowel direct als indirect.

De Cordier formuleerde 13 belangrijke verschillen met de huidige privacywetgeving, waaronder de boetes en wetshandhaving.
Volgens hem is de lastigste vraag waar organisaties mee te maken krijgen: ‘wat zijn onze voornaamste risico’s?’. Organisaties moeten zich afvragen of het realistisch is om de wetgeving volledig na te streven. Het is volgens hem vooral belangrijk om de mogelijkheden van de wetgeving te benutten. Daarbij moet gestart worden met het in kaart brengen en beoordelen van de grootste organisatierisico’s en deze trachten te mitigeren met aangepaste maatregelen. Indien het niet lukt om deze risico’s naar behoren in te dijken, ben je als organisatie verplicht de Privacycommissie op de hoogte te stellen.

Volgens De Cordier moet de GDPR als tool worden gebruikt om het vertrouwen van de klant (en van de werknemer) te winnen. Bijvoorbeeld door een verhoogde transparantie te garanderen: met wie deel je wat en hoe lang blijft dit bewaard en wat zijn de veiligheidsmaatregelingen?

Hoe kunnen normen helpen bij databescherming?

  1. GDPR promoot gedragscodes, certificaten, zegels, keurmerken, etc.
  2. Organisaties voor standaardisatie zoals het NBN hebben verschillende internationale normen ontwikkeld met betrekking tot de bescherming van informatie en data privacy. De belangrijkste norm is wellicht de ISO 27001.
  3. Normen bieden geen garantie dat de regels gerespecteerd worden, maar zij bieden wel een referentiekader om de regelgeving door te voeren. Een norm moet beschouwd worden als een “best practice”.
  4. Normen bieden daarnaast een referentiekader voor certificatie. Vandaag kan men zich al laten certificeren voor de ISO 27001.

Hoe bereid je je voor op de GDPR en blijf je in orde vanuit een risico- en technologiestandpunt

Volgens Jan De Meyer en Bart Kuipers (PwC) kan je privacy en security niet los van elkaar zien. Er zijn twee benaderingen mogelijk bij GDPR:

  1. de GDPR volledig volgen (de vraag die daarbij moet gesteld worden is of dit wel mogelijk is)
  2. of risico’s indijken (pragmatische aanpak)

Het is belangrijk dat er binnen een organisatie een duidelijk kader geschetst wordt dat begrijpelijk is voor iedereen. ISO 27001 is een goede basis voor de implementatie van de GDPR. Alleen is de ISO 27001-norm vandaag onvolledig omdat hierin de informatiebeveiliging vertrekt vanuit een meer klassieke benadering: het risico van de onderneming. Voor de GDPR is dit onvoldoende: het vertrekpunt hierin is het risico voor de klant of de burger, en de gevolgen wanneer persoonlijke informatie van deze onrechtmatig wordt gebruikt.

Volgens De Meyer en Kuipers is GDPR-certificering belangrijk omdat dit aangeeft of een organisatie voldoet aan de GDPR. Certificering wint aan belang wanneer men een aantal activiteiten waarin persoonlijke gegevens worden verwerkt wenst te outsourcen. Dit kan het geval zijn voor o.a. loonverwerking of medische labo’s. De opdrachtgever wenst dat de dienstenleverancier (verwerker van de informatie) op een correcte manier omgaat met de persoonsgegevens. De opdrachtgever blijft immers verantwoordelijk voor wat er met de gegevens van haar personeel of haar patiënten gebeurt.

Cruciaal om met GDPR aan de slag te gaan is te begrijpen waar men vandaag staat met betrekking tot informatiebeveiliging. Maturiteitsmodellen zijn hier een nuttig instrument. Daarnaast kan men van start gaan met het in kaart brengen van de processen of systemen met het grootste risico. Op basis daarvan kunnen een aantal pilootprojecten worden gestart naar GDPR-compliance, waarin precieze doelstellingen naar informatiebescherming worden vooropgesteld.  

Rol van de Privacycommissie

Tot slot nam Willem Debeuckelaere, voorzitter van de Belgische Privacycommissie, het woord.

Bedrijven die aan de GDPR verzuimen, kunnen zware sancties verwachten. De boete kan oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dit stijgen tot een maximum van 20 miljoen euro.

Volgens Debeuckelaere maken veel bedrijven zich zorgen dat de Privacycommissie vanaf 25 mei volgend jaar meteen strenge boetes zal opleggen, maar dit is niet nodig. De Privacycommissie is een waakhond, geen kanon. Bovendien is de verantwoordingsplicht het allerbelangrijkste in de GDPR. Organisaties moeten in staat zijn om aan te tonen dat ze verantwoord omgaan met persoonsgegevens. Ze hoeven hoge risico’s in principe niet te melden. Enkel wanneer ze er alles aan gedaan hebben om deze risico’s in te dijken, maar ze hierin niet slagen, zijn ze verplicht om dit aan de Privacycommissie te rapporteren.