Over de nieuwe GDPR is al veel geschreven, maar sommige mythes blijven overeind. Moet ik elke data-inbreuk rapporteren? En hoe zit het nu met die boetes? We overlopen de meest hardnekkige mythes.
De klok tikt. Op 25 mei 2018 moeten we voldoen aan de regels van de General Data Protection Regulation, GDPR voor de vrienden. Maar ondanks dat de deadline dichterbij komt, blijft enige toelichting nuttig.
Ik heb als journalist de voorbije maanden diverse presentaties, webcasts en interviews gevolgd en gelezen over GDPR. Maar niet altijd was de info in lijn of volledig. ‘GDPR is als wetgeving erg significant voor de technologiesector, maar er is nog veel onduidelijkheid’, zo beaamt ook Duncan Brown, associate vice president, European Security Practice bij IDC. Met behulp van het onderzoeksbureau schiften we fictie van realiteit. Al hebben we niet de ambitie om volledig te zijn.
Mythe 1. GDPR is even ingrijpend als Y2K
De hysterie rond GDPR doet denken aan die rond Y2K. Je weet wel: toen bedrijven hemel en aarde moesten bewegen om hun software aan te passen aan het jaar 2000. Sommige pakken GDPR nu op dezelfde manier aan. Als een specifiek project met een duidelijke einddatum: 25 mei. Ofwel haal je die datum, ofwel niet.
Deze aanpak is fout. ‘Security is a journey, not a destination‘, zo klinkt het vaak en dat is ook zo. Ook het voldoen aan de regulering rond data protection moet daarom gezien worden als een proces dat nooit stopt.
Mythe 2: Iedereen betaalt 4 procent boete
In artikelen en presentaties gaat het al snel over de mogelijke straffen bij inbreuken. Je riskeert een boete van 4 procent van de omzet bij inbreuken, heb ik al vaak gehoord. Dat klinkt dan vaak als afschrikking. Op een presentatie zag ik die 4 procent onlangs op een slide in groot font en in rood.
Maar het klopt niet helemaal. Zo zijn er twee soorten boetes. De 4 procent is de hoogste boete voor bedrijven (of twintig miljoen euro indien hoger). Maar er is ook een categorie met een boete van 2 procent groepsomzet (of tien miljoen euro indien hoger). De categorie hangt af van de inbreuk.
Mythe 3: Niemand krijgt een boete
Sommigen beschouwen het risico van dergelijke boetes overdreven. ‘Een storm in een glas water’, zo klinkt het. Of: ‘ik wil het nog wel eens zien’, hoorde ik ooit iemand zeggen.
Wat wel klopt is dat GDPR erg ruim gaat inzake de verplichtingen rond gegevensbescherming. Wat betekent dat het voor autoriteiten niet evident zal zijn om toezicht te houden op de naleving. Behoorlijk wat werk, terwijl de financiële middelen hiervoor (onvermijdelijk) beperkt zullen zijn. Maar dat betekent niet dat er niets of nooit zal worden opgelegd. Mogelijk zullen er enkele voorbeelddossiers opduiken.
Mythe 4: Om aan GDPR te voldoen, moeten we alle data encrypteren
GDPR is een zege voor de markt van data encryptie. Maar het idee dat je alle data moet encrypteren om aan GDPR te voldoen, klopt niet. Niet alle data zijn bijvoorbeeld persoonlijk, en niet alle data zijn gelijkwaardig.
Veel bedrijven stellen vast dat, ondanks verbetering, encryptie uitdagingen met zich meebrengt inzake het beheer ervan. Vaak belemmert het ook hun inzake business activiteit, zoals doorzoeken van data of analytics. Let wel, encryptie is nuttig. En kan vooral worden toegepast op persoonlijke data, gebaseerd op het risico. Of zoals IDC het zelf stelt: hoe gevoeliger de data, hoe sterker de beveiliging.
Mythe 5: Je moet vooral security breaches vrezen
Het klopt dat de meeste boetes zijn voorzien voor security breaches. In het Verenigd Koninkrijk is bijvoorbeeld de meerderheid van de boetes er een naar aanleiding van een inbraak. Pittig detail is dat meestal een menselijke fout aan de basis ligt, al vind ik dat ook niet zo verwonderlijk.
Los hiervan blijkt dat de duurste boetes bestemd zijn voor fundamentele inbreuken op GDPR, zoals het verwerken van persoonlijke data zonder een erkende legale basis. Dat is belangrijk, omdat tijdens presentaties en interviews de focus toch vaak ligt op die security breaches. Toegegeven: die springen ook het meest in het oog.
Mythe 6: Alle security breaches moeten binnen de 72 uur worden gerapporteerd
Veel nuances hier. Om te beginnen moeten enkel de inbreuken op persoonlijke data worden gerapporteerd, wat al een beperktere invulling is dan data in het algemeen. Niet alle data zijn per definitie gelinkt aan een persoon.
Daarnaast hangen, zo benadrukt IDC, dergelijke notificaties af van de status van de firma die de data beheert. Is het bedrijf een controller of processor (zoals een service provider). Een controller wordt bij inbreuk in principe geacht om zowel autoriteiten als individuen ervan te verwittigen. Een andere onduidelijkheid is de 72 uur: het gaat hier, zo benadrukt IDC, om 72 uur nadat een bedrijf weet heeft van een inbreuk.
Mythe 7: Niets melden is uiteindelijk het best
Ook dit heb ik al eens gehoord: waarom zou ik een data inbreuk melden? Niet melden betekent geen boete betalen, zo luidt dan de eenvoudig redenering. Vrij vertaald: de ‘wat niet weet, niet deert’-aanpak. Ik vermoed dat die aanpak wel eens zal worden gehanteerd.
Het risico is natuurlijk dat de autoriteiten er toch achter komen, bijvoorbeeld via boze klanten, klokkenluiders of mediaberichten. Waardoor de boete hoger zou komen te liggen, dan als je aanvankelijk wel had gemeld.
Anno 2017 is het moeilijker dan ooit om zaken onder de mat te vegen. Zeker als die digitaal zijn.
