Het kan u bijna niet ontgaan zijn: in mei 2018 wordt de nieuwe verordening voor de bescherming van persoonsgegevens (GDPR) van kracht. Deze verordening geldt voor alle bedrijven die werkzaam zijn binnen de EU. Uit onderzoek blijkt echter dat een jaar na de officiële aanname door de Europese Unie, de meerderheid van it- en business professionals niet voorbereid is, of niet weet of er een plan is voor de implementatie van GDPR in hun organisatie.
Voor degenen die nog niet op de hoogte zijn: het doel van de GDPR is om de privacy en integriteit van persoonsgegevens van consumenten beter te beveiligen. Is er sprake van een datalek, dan moet een organisatie in staat zijn om dit binnen 72 uur aan de autoriteiten en mogelijk getroffen klanten te melden. Het risico van niet-naleving van de regels is een boete tot twintig miljoen dollar of 4 procent van de wereldwijde jaaromzet.
Ondanks deze hoge boetes laat recent onderzoek zien dat meer dan 80 procent van de respondenten niets of slechts een paar details weet van de GDPR. Bijna alle ondervraagde bedrijven (97 procent) heeft bovendien geen plan klaarliggen, hoewel meer dan 90 procent van de respondenten wel stelt dat hun bestaande beleidsvoering niet voldoet aan de GDPR-eisen.
Onduidelijkheid
Een van de grootste problemen met de nieuwe verordening is de onduidelijkheid over wat wel en wat niet is toegestaan. Ondanks dat niet elk detail of elke stap, van governance tot security, in de tekst van de GDPR op detail wordt beschreven, is dat natuurlijk geen reden om rustig achterover te leunen. Dus laten we beginnen met wat we wél weten.
In de nieuwe verordening is de definitie van persoonsgegevens veranderd naar ‘alle gegevens die de identificatie van een persoon indirect of direct mogelijk maken’. Deze definitie is erg breed, omdat het alle informatie betreft over ‘een identificeerbaar natuurlijk persoon’. Denk hierbij aan een naam, locatiegegevens, economische, sociale of culturele identiteit. De meest gebruikte definitie van deze persoonsgegevens is ‘persoonlijk data’ (pd).
Van max naar min
Data scientists stellen dikwijls: hoe meer data (inclusief pd) we verzamelen, hoe meer we kunnen weten over onze klanten, de markt, het milieu, etc. Met allerlei nieuwe technologieën verzamelen we meer data dan ooit. En met behulp van geavanceerde big data analytics onttrekken we vaak bruikbare, maar ook minder nuttige informatie. Dit wordt ook wel ‘surprise maximalisatie’ genoemd: analyses uitvoeren met behulp van algoritmes op grote hoeveelheden data. Deze ontwikkeling staat haaks op onze privacy-wetgeving en roept ethische vragen op over het gebruik van data. Binnen de GDPR zal de regelgeving hieromtrent strenger zijn, om voor consumenten meer privacy te garanderen.
Vanaf mei 2018 is ‘data-minimalisering’ voor pd verplicht. Dit betekent dat je niet meer gegevens mag verzamelen en verwerken dan dat je daadwerkelijk nodig hebt om je vooraf gestelde doel te verwezenlijken. Een eenvoudig voorbeeld, als je alleen een naam, adres en postcode voor het verzenden van orders, is het niet nodig om het webformulier ook om een telefoonnummer te vragen. Het staat in de lijn der verwachting dat er binnen de GDPR meer flexibiliteit zal zijn wanneer de data anoniem, ge-pseudonimiseerd of versleuteld wordt verwerkt.
Privacy by design
Data-minimalisatie is een onderdeel van het ‘privacy-by-design’ principe binnen de GDPR. In de ontwikkelingsfase van (nieuwe) producten of diensten, moet een organisatie zo vroeg mogelijk rekening houden met de privacy van pd. Voor alle data moet je dus expliciet weten waar het voor gebruikt zal worden en of er behoefte is aan pseudonimisatie. Bent u al bezig met het maken van een pd-inventarisatie? In welke systemen, databases en servers zit de PD opgeslagen of wordt het verwerkt? Wat betekent het beginsel van ‘privacy by design’ voor huidige en nieuwe data lakes, data warehouses en applicaties?
Uit onderzoek blijkt dat veel bedrijven momenteel niet in staat zijn bovenstaande vragen te beantwoorden. Het is belangrijk om goed voorbereid te zijn op de veranderingen die de GDPR meebrengt. Niet alleen om hoge boetes te voorkomen, maar om de voordelen voor uw organisatie slim in te zetten. Mei 2018 lijkt nog ver weg, maar komt sneller dichterbij dan u denkt!
