De opkomende overlast van de nieuwe Europese algemene verordening gegevensbescherming doet veel stof opwaaien bij zowel de juridische als it-afdelingen binnen bedrijven nu de deadline van 28 mei 2018 steeds dichter bij komt. Advocatenkantoren en consulting bedrijven nemen nu al de volgende uitspraak in de mond: 'Dit is vergelijkbaar met de gevreesde Y2K-bug rond de eeuwwisseling', waarbij alle computersystemen er de brui aan gingen geven.
Iedereen zag het al lang aankomen maar niemand reageerde tot het moment van de waarheid was aangebroken. Waarschijnlijk wachten de meeste bedrijven momenteel nog geduldig af tot de 1ste januari 2018, want dan zijn er nieuwe budgetten beschikbaar om het GDPR probleem op te lossen.
Eerst nog even uw geheugen opfrissen, de EU Algemene Verordening Gegevensbescherming is een document van 261 pagina’s met 99 artikelen en 173 ‘Overwegingen’. Als het van kracht wordt, is het van toepassing op elke organisatie die gegevens verzamelt of verwerkt over personen die in de 28 lidstaten van de Europese Unie wonen. Hier volgen enkele van de meer zichtbare vereisten die reeds bekend zijn.
Aangifte datalek
U moet binnen de 72 uur aangifte doen van een datalek. Als bedrijf heeft u slechts drie dagen om het bekend te maken aan de gegevens beschermingsautoriteit (GBA) en de schending vast te laten stellen. Hiervoor zal u onder andere moeten uitleggen hoe het datalek is kunnen ontstaan, welke maatregelen u zal nemen om te voorkomen dat het opnieuw kan gebeuren en bepalen hoe en wanneer u gaat communiceren naar de betrokken partijen.
Moet u een functionaris voor gegevensbescherming (dpo) inschakelen? Deze vraag veroorzaakt veel discussie. En kunnen we gemakshalve de ciso de dpo-titel geven? (Antwoord is nee). Kunnen we de rol van dpo dan uitbesteden? (Kan zijn, maar is nog niet helemaal zeker). En waar vinden we iemand die de privacy van gegevens, de veiligheid van uw data en alle juridische dingen begrijpt? (Goede vraag.)
Een van de vaak over het hoofd geziene aspecten van GDPR is dat het enkele zeer losstaande uitspraken heeft over de adequate beveiliging rond privacygegevens. Termen als ‘state of the art’ zijn omstreden, en opent de vraag tot discussie voor iedere advocaat.
Boetes
Hoe zit het eigenlijk met de boetes bij niet-naleving van de algemene verordening gegevensbescherming? Stel u eens de volgende vraag: twintig miljoen euro of 4 procent van de wereldwijde inkomsten van uw bedrijf, maar welke van de twee is het grootst”? Laten we dit gegeven eens in perspectief plaatsen: 4 procent van Amazon ‘s inkomsten (over 2016) zou 5,44 miljard dollar zijn en van Google is dit 3,6 miljard dollar, Facebook 1,1 miljard dollar en van Netflix, slechts 352 miljoen dollar. U kunt zelf eens de berekening doen voor uw eigen bedrijf.
Maar wat zouden de onbedoelde gevolgen kunnen zijn van het opleggen van deze nieuwe regelgeving op een van de meest winstgevende industrietakken van onze wereldeconomie, in het bijzonder de technologische sector? Ten eerste zullen de kosten stijgen, waardoor de winstgevendheid daalt met als gevolg minder winst en dus minder investeringen, minder startups en een langzamere groei van deze sector.
Nog een gevolg zou kunnen zijn dat GDPR de toegang tot technologie voor inwoners en bedrijven in Europa zal kunnen gaan beperken. Veel applicaties worden tegenwoordig gemaakt door kleine bedrijven die op hun beurt heel wat persoonlijke informatie verzamelen. Elke internet-startup droomt ervan om hun eerste miljoen gebruikers aan zich te binden en trachten dit te bereiken door viraal te gaan met goedkope, vaak gratis software. Hun business model is het verzamelen van uw gegevens gebruik makende van big data om waarde te creëren.
Niet verzamelen
Nu vallen ze dus ook onder GDPR omdat ze persoonlijke gegevens over ingezetenen van de EU zullen bezitten en verwerken. De definitie van persoonlijke gegevens omvat onder andere ook uw ip-adres, geo-locatie, huisadres en e-mailadres, die ook zullen worden verzameld. Hiervoor zal de internet-startup dus toestemming moeten gaan vragen aan elke gebruiker.
Een manier om dit te vermijden is gewoon geen gegevens over ingezetenen van de EU meer verzamelen. Dat kan door de gebruiker op een knop te laten klikken waarbij ze beweren dat ze niet in de EU wonen voordat de app zal worden geïnstalleerd. Of ze gebruiken uw geo-locatie om de app volledig te blokkeren.
Het gevolg hiervan zou kunnen betekenen dat elke Europeaan zichzelf zal afsnijden van de nieuwste software ontwikkelingen. Wilt u bijvoorbeeld de nieuwste beveiligde communicatie-app installeren? Sorry, dat zal niet (meer) gaan. Hoe zit het met die nieuwe zakelijke app voor het beheren van contacten of uw administratie? Niet beschikbaar in de EU, alleen mensen buiten Europa kunnen er gebruik van maken.
Dit zal wel eens een groot probleem kunnen worden voor Europa. Begrijp me niet verkeerd want ik ben zelf groot voorstander van het verstandig om te gaan met persoons herleidbare gegevens en de veiligheid van data opslag in het algemeen. Maar als de Privacy commissie de regels volgens GDPR letterlijk zal toe gaan passen, kunnen er nieuwe digitale grenzen ontstaan waar het internet en u als consument niet op zitten te wachten.
Deze analyse houdt geen rekening met de nadelen van succesvolle verdienmodellen op het internet. Hierbij wordt op een ondoorzichtige wijze persoonlijke data verzameld en aan partijen doorverkocht, waarbij individuen geen controle over hun data kunnen uitoefenen. Uit de vele datalekken die bekend zijn geworden, blijkt dat veel van deze partijen tekortschieten in de de beveiliging van deze data en op die wijze individuen kunnen schaden. Heeft een overheid dan alleen de taak om innovatie te bevorderen en winstmarges van bedrijven te maximaliseren?
Dag Richard,
Correct en deze verdienmodellen zoals door u omschreven zullen ook onderhavig zijn aan de algemene verordening gegevensbescherming vanaf 25 Mei 2018. Benieuwd hoe ook deze bedrijven hun bussinessmodel zullen gaan aanpassen.