Belgische fabrikanten die nu nog geen privacy impact assessment hebben uitgevoerd, lopen uit de pas en zijn in 'big trouble'. Alleen een globale, op risico's gebaseerde benadering die de levenscyclus van data centraal stelt, kan deze ondernemers nog uit de brand helpen.
De AVG is dé uitdaging voor 2018 en verder. Er is geen ontsnapping mogelijk: ‘wet is wet’ in alle 28 lidstaten en zelfs daarbuiten. De AVG is bovendien geen richtlijn, maar een verordening en dus volledig en rechtstreeks van toepassing.
Ondanks alle publiciteit rondom de nieuwe Europese privacywetgeving zou bij sommige fabrieksdirecteuren nog de indruk kunnen bestaan dat de AVG vooral marketing- en verkoopfunctionarissen raakt. Het zijn immers toch vooral de direct marketeers die zich binnen hun bedrijf bezighouden met zaken als profilering en identificatoren als (ip)-adressen, cookies, en rfid-tags? Niets is minder waar.
AVG raakt alle disciplines
De nieuwe wetgeving raakt potentieel alle disciplines en stakeholders in de maakindustrie. Zo verwerken medewerkers op de personeelsafdeling dagelijks persoonsgegevens van medewerkers en sollicitanten. Denk aan telefoonnummers (privé en zakelijk), e-mailadressen en geheime codes, zoals toegangscodes van panden en wachtwoorden voor computers. Daarnaast zijn er de salarisgegevens, paspoorten, bankrekeningnummers, rijksregisternummers, enzovoorts. En binnen beveiligde fabrieksterreinen worden wellicht biometrische gegevens (zoals vingerafdrukken) en camerabeelden gemaakt en bewaard.
De financiële afdeling op haar beurt verzamelt persoonsgegevens van toeleveranciers, (onder)aannemers en kredietverschaffers. Sommige fabrieken starten eigen retail-activiteiten op, waarmee ze klanten rechtstreeks, business-to-consumer bedienen. De marketingafdeling beschikt dan over een crm-systeem of database met klantgegevens. Het industrial internet of Ttings (IIoT) zorgt eveneens voor nieuwe uitdagingen. Alles met een stekker kan op het internet worden aangesloten. Dus ook fabrieksmachines. Het borgen van 100 procent cybersecurity wordt hierdoor schier onmogelijk. Fabrikanten kunnen natuurlijk wel zorgen dat de basis op orde is.
Beginselen
In de AVG staat een aantal basisbeginselen beschreven:
- Zo dienen ‘betrokkenen’ toestemming te geven voor verwerking van hun persoonsgegevens door middel van een duidelijke actieve handeling. Bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens.
- Verder moeten persoonsgegevens, kort samengevat, worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
- Fabrikanten mogen persoonsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzamelen. ‘Minimale gegevensverwerking’ is hierbij de norm.
- De persoonsgegevens moeten juist zijn, fabrikanten zijn verplicht deze zo nodig te actualiseren. Ondernemingen zijn verplicht onjuiste persoonsgegevens desgewenst te wissen of te rectificeren.
- Fabrikanten dienen de persoonsgegevens te bewaren in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
- Tot slot moeten fabrikanten de persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier verwerken, dat een passende beveiliging ervan gewaarborgd is.
Over beveiliging gesproken, ‘privacy by design’ houdt in dat de fabrikant er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar het betekent ook dat hij niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat hij de gegevens niet langer bewaart dan nodig. ‘Privacy by default’ houdt in dat de fabrikant technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat hij, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat hij wil bereiken. Bijvoorbeeld door een app die hij aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is. Een op AVG-principes gebaseerde vertrouwensrelatie kan de reputatie van de onderneming alleen maar ten goede komen.
Datalekken
Ondanks alle voorzorgsmaatregelen zijn in Nederland en België in het verleden diverse gegevenslekken gemeld met de nodige reputatieschade en maatschappelijke impact. In Nederland stonden op enig moment gegevens van tweeduizend medewerkers van het in medische technologie gespecialiseerde Philips op een openbare website (Pastebin.com). Het ging hierbij om salarisgegevens, jaaroverzichten, namen, adressen en burgerservicenummers.
Spraakmakend in België was het massale gegevenslek bij de NMBS, waar door een menselijke fout persoonsgegevens van honderdduizenden spoorwegklanten op internet circuleerden. Deze ‘data breach’ kreeg een twijfelachtige vermelding in de top van ’s werelds grootste datalekken ooit. Het waren incidenten en tevens leermomenten in aanloop naar handhaving van de AVG. Incidenten die verbleken bij de recente tot dusverre verzwegen hack bij Uber, die overigens bij een derde partij in de cloud plaatsvond.
Incrementele investering
Helemaal nieuw is de AVG natuurlijk niet. Veel van haar basisprincipes en concepten vinden we reeds terug in de actuele Belgische Privacywet. ‘Dus wie vandaag al voldoet aan de huidige wetgeving, zal deze benadering als geldig uitgangspunt kunnen nemen voor de implementatie van de AVG’, zo merkt de Privacycommissie terecht op in een voorlichtingsbrochure over AVG.
Indianenverhalen dat de AVG fabrikanten zal opzadelen met een kostenpost van tienduizenden euro’s kunnen naar het rijk der fabelen worden verwezen. Fabrikanten die de privacy van hun werknemers, leveranciers en andere zakenpartners van meet af aan serieus hebben genomen, hebben waarschijnlijk elk jaar al geïnvesteerd in informatiebeveiliging. Bedrijven die dit hebben verzuimd, hebben wel een majeur probleem. Bedrijven die te goeder trouw zijn, worstelen vooral met het stellen van de juiste prioriteiten.
De AVG is toch een incrementele investering en het algemene budget voor informatiebeveiliging is zelden toereikend. Bovendien vragen enkele noviteiten in de AVG om aandacht en budget.
Noviteiten
Zo voorziet de Europese privacywetgeving in een nieuwe figuur, de verplichte data protection officer (dpo), die toeziet op de gegevensverwerkingen binnen de onderneming. Wie niet onder deze verplichting valt, doet er goed aan om toch een functionaris aan te stellen. Hij of zij zal immers een niet te miskennen rol spelen in het databeschermingsbeleid van de organisatie.
Eveneens nieuw is de extraterritoriale werking van de AVG. Zo is de verordening ook van toepassing op internationale leveranciers die als ‘verwerkingsverantwoordelijke’ of ‘verwerker’ goederen of diensten aanbieden aan EU-burgers en hierbij persoonsgegevens verwerken. Dit geldt zelfs voor gratis producten of diensten. Ook internationale leveranciers die het gedrag van EU-burgers monitoren vallen onder de verordening, voor zover dit gedrag in de Europese Unie plaatsvindt. Ondertussen telt de ‘countdown timer’ op de website van de Privacycommissie genadeloos op de seconde af naar 25 mei 2018.
Stappenplan
De tijd dringt dus. Houd er rekening mee dat sommige bepalingen uit de AVG meer impact zullen hebben op uw bedrijf of organisatie, dan andere, zoals bijvoorbeeld de bepalingen inzake profilering. Het kan dus nuttig zijn om nu reeds in kaart te brengen welke bepalingen van de AVG de grootste impact zullen hebben op uw bedrijf, en deze bij voorkeur eerst door te voeren (‘risk-based approach’). De Privacycommissie heeft een dertien-stappenplan opgesteld, waarmee fabrikanten de verschillen tussen de huidige Privacywet en de nieuwe AVG kunnen opsporen en hun beleid hierop afstemmen. Een kleine greep uit het stappenplan:
– Informeer sleutelfiguren en beleidsmakers over de aankomende veranderingen. Zij moeten inschatten welke gevolgen de AVG zal teweegbrengen voor het bedrijf of de organisatie.
– Breng in kaart welke persoonsgegevens u bijhoudt, waar deze vandaan komen en met wie u deze hebt gedeeld.
– Registreer uw verwerkingen. Mogelijks dient u hiervoor een informatie-audit te organiseren.
– Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken.
– Bepaal onder welke toezichthoudende autoriteit u valt indien uw bedrijf of organisatie internationaal actief is.
– Beoordeel uw bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.
Balans
Het vinden van de juiste balans tussen het gebruik van persoonsgegevens en de bescherming van privacy binnen onze digitale samenleving is een van de grootste worstelingen van dit moment. Een stappenplan kan hierbij nuttige diensten bewijzen, maar fabrikanten die de AVG louter zien als een afvinklijstje (‘checkbox approach’) slaan de plank mis. Door governance, risicomanagement en compliance nauwkeurig af te stemmen met relevante technologie, zullen de AVG-doelen waarschijnlijk eerder worden gehaald. AVG compliance is geen sluitstuk. Het beschermen van persoonsgegevens en het voorkomen van datalekken is een ‘ongoing process’, gericht op hoge datakwaliteit en een bestendige vertrouwensrelatie met alle stakeholders.
