Voor het tiende jaar op rij is 28 januari een belangrijke pijler in de Europese kalender, want vandaag is het Data Protection Day (wereldwijd bekend als Data Privacy Day). Vandaag is ook de verjaardag van het verdrag van de Council of Europe die oproept tot de bescherming van individuen met betrekking tot het automatisch verwerken van persoonlijke data.
Dit verdrag heeft tot doel de stroom van persoonsgegevens over de grenzen te reguleren en biedt garanties met betrekking tot het verzamelen en verwerken van ‘gevoelige’ persoonsgegevens. Het verdrag bekrachtigt ook het recht van het individu om te weten waar persoonlijke informatie wordt opgeslagen en dit te kunnen corrigeren indien nodig.
Vandaag valt Data Protection Day middenin veel discussie en in de afgelopen jaren, met de opkomst van internet-gebaseerde diensten, hebben we gezien dat persoonsgegevens van individuen steeds moeilijker toegankelijk werden en moeilijker te verwijderen. Als gevolg daarvan bestaat een algemeen gevoel dat de huidige regelgeving inzake gegevensbescherming slecht is uitgerust om een ethisch proces te kunnen waarborgen en onze hedendaagse data-footprint te beschermen.
Safe Harbor
In lijn met deze twijfels zagen we eind 2015 de ongeldigverklaring van de Safe Harbor-overeenkomst, als gevolg van het fundamentele filosofische verschil tussen de verwachting van de EU wat betreft privacy en de ambitie van de Verenigde Staten om de wereldwijde markt te vergroten en tegelijkertijd de nationale veiligheid te verbeteren, ondanks het mogelijke negatieve effect op de bescherming van persoonsgegevens van individuen. Jarenlang trad Safe Harbor op als enige nalevingsmechanisme voor veel Amerikaanse bedrijven en dit heeft organisaties gedwongen hun benadering van gegevensverwerking te heroverwegen.
Er bestaat nog steeds onzekerheid nu we op een mogelijke Safe Harbor 2.0 wachten en op eventuele wijzigingen in de EU-regelgeving later dit jaar. Hoewel de fijnere details van de regelgeving nog moeten worden bekeken komt het er op neer dat organisaties nog meer zullen moeten evalueren wat de risico’s zijn in het omgaan met data en zich zullen moeten beschermen tegen het per ongeluk verliezen van data. Het zal alleen nog mogelijk zijn voor organisaties om gegevens te verwerken indien de betrokken persoon instemt of als de verwerking strikt noodzakelijk is. Als een bedrijf meer dan 250 mensen in dienst heeft zal het worden verplicht een data protection officer in dienst te nemen om de rechtmatige verwerking van gegevens te waarborgen. Daarnaast kunnen mensen vragen hun gegevens te laten verwijden onder de ‘Right to be Forgotten’-clausule.
Wereldwijd wachten bedrijven de uitspraak met betrekking tot regelgeving af en beginnen ze de mogelijke impact en het bereik daarvan te begrijpen. Ze kunnen in ieder geval zeker zijn van één ding: in de toekomst zal de naleving van regels omtrent privacy van data over veel meer gaan dan alleen het bieden van zekerheid. Voor degenen die niet voorbereid zijn op veranderingen in de wetgeving en deze niet naleven is er een fikse boete van 5 procent inkomsten te betalen.
Wetten en regels
Om in lijn met de regelgeving te blijven en een straf te voorkomen zullen bedrijven ervoor moeten zorgen dat ze een effectieve data management infrastructuur hebben geïmplementeerd. Waar de data ook worden opgeslagen, lokaal of extern, bedrijven zullen zowel medewerkers als klanten moeten kunnen verzekeren dat data worden verzameld, verwerkt, toegankelijk zijn, gedeeld, opgeslagen, overgedragen en beveiligd worden in overeenstemming met alle wetten en regels en dat de gegevens alleen worden gebruikt op een vooraf overeengekomen en legale manier.
Wanneer bedrijven hun toekomstige storage-infrastructuur en -processen bekijken zouden ze moeten bekijken of deze flexibel genoeg zijn om data te integreren, managen, repliceren en te verplaatsen tussen verschillende storage-systemen en cloud-partijen. Het voordeel van deze data management-aanpak is dat service providers in staat zijn te lokaliseren waar de gegevens worden opgeslagen en deze gemakkelijk kunnen verplaatsen of verwijderen indien nodig.
Er bestaat geen twijfel over: dit jaar herinnert Data Protection Day organisaties aan het belang van correcte afhandeling van data en bescherming van persoonsgegevens van individuen. Het wijst ook op de onzekerheid over hoe deze voorschriften kunnen veranderen en ontwikkelen in de komende maanden, als de beslissingen worden bereikt om toekomstige wetgeving aan te passen met onze moderne data footprint. Behoud van volledige controle over de gegevens plus de flexibiliteit om aan te passen aan toekomstige ontwikkelingen in de wet zijn daarbij van cruciaal belang voor bedrijven.
Sven Schoenaerts, managing director Benelux NetApp
Thema ‘privacy’ tijdens Infosecurity.be
Privacy is een belangrijk thema tijdens ict-vakbeurs Infosecurity.be, die op 23 en 24 maart in Brussels Expo plaatsvindt. Exposanten en sprekers kunnen op die dagen meer informatie delen over de gevolgen van data-inbraken en manieren om dit te voorkomen. Registreren voor de vakbeurs is gratis en doet u via de beurswebsite.