Winkelmand

Geen producten in je winkelmand.

GDPR: dit moet je weten over de nieuwe regelgeving van data- en privacybeveiliging

Onze manier van data opslaan is met de jaren enorm veranderd. Waar we vroeger bestanden opsloegen op een floppy disk, heb je nu je smartphone en de cloud met honderden gigabytes altijd bij de hand. Daar horen ook nieuwe regels bij. Per mei 2018 wordt daarom de Algemene Verordening Gegevensbescherming ingesteld door de Europese Unie. Dit kan voor bedrijven betekenen dat ze flinke veranderingen moeten doorvoeren. Waar moet je als bedrijf op letten?

Voor veel bedrijven zal de werkwijze gaan veranderen, mogelijk zelfs hele IT-systemen. Dat kan flink in de cijfers lopen. ‘Maar dat geldt zeker niet voor alle bedrijven’, stelt advocaat Jurriaan Jansen. Hij is gespecialiseerd in onder andere IT-recht en werkt voor internationaal advocatenkantoor Norton Rose Fulbright. ‘Deze nieuwe regels zijn helemaal niet zo verschillend van de oude, ze zijn wel een stuk uitgebreider. Bovendien zijn er strengere sancties aan verbonden en wordt de controle door de toezichthouder beter geregeld.’ Wbp Nederland gebruikt als het gaat om data en privacy nu nog de Wet bescherming persoonsgegevens (Wbp), die sinds 2001 van kracht is. ‘Een wet is altijd landelijk’, legt Jansen uit. ‘De nieuwe verordening geldt in de hele Europese Unie. Het is een set van regels die aangeven hoe bedrijven met data en privacy om moeten gaan. 90 procent van de verordering is ingevuld door de EU en staat dus vast, 10 procent laat ruimte open voor eigen invulling per land.’ GDPR De Algemene Verordening Gegevensbescherming is een Nederlandse vertaling van de General Data Protection Regulation, ofwel GDPR. Het is de opvolger van de Wbp die is geüpdatet naar de standaarden van deze tijd. ‘De kern van de verordening is dat bedrijven veel bewuster met data om moeten gaan. Zo mogen niet meer zomaar informatie over (potentiele) klanten opslaan en bewaren. Een verzekeraar of bank mag bijvoorbeeld niet zomaar meer risicoprofielen maken van klanten. Daarnaast krijgt de consument meer rechten toegewezen, zodat die meer invloed heeft op de informatie die bedrijven hebben. Accountability Een belangrijke verandering volgend jaar is de acountability van bedrijven. Jansen: ‘Alle bedrijven die gegevens verzamelen over hun klanten, zoals hun leeftijd, sekse, woonplaats, religie, sociale media en persoonlijke voorkeuren, worden voortaan gecontroleerd door de Autoriteit persoonsgegevens. Dat is de Nederlandse toezichthouder. Bedrijven moeten bij gaan houden welke informatie ze hebben, over wie, waarom, hoe lang ze de gegevens bewaren en wat ze er precies mee doen. De nieuwe regelgeving stelt dat er zo min mogelijk gegevens bewaard mogen worden, en enkel om een gerechtvaardigde reden. Als je bij Bol.com voortaan een boek bestelt en daarvoor gegevens moet invoeren, mag het bedrijf dus niet zomaar jouw gegevens bewaren. Alles moet verantwoord worden aan de toezichthouder, die beoordeelt of het gebruik van de data gerechtvaardigd is of niet. Daar zijn natuurlijk wel aanvullende regels voor opgesteld, zodat een bedrijf weet hoe het gecontroleerd gaat worden.’ De Autoriteit persoonsgegevens was al belast met diezelfde taak de afgelopen jaren, maar controleerde nauwelijks. ‘Ze hebben nu ongeveer 80 medewerkers in dienst en gebruiken een budget van 8 miljoen per jaar. Daarmee kun je natuurlijk onmogelijk alle Nederlandse  bedrijven controleren. Ik verwacht daarom dat de toezichthouder flink zal gaan uitbreiden de komende jaren’, aldus Jansen. Sancties Dat zal ook wel moeten, want de GDPR belooft dat ook de controle veel strenger gaat worden. De sancties die je als bedrijf opgelegd kunt krijgen als je de regels overtreedt, zijn ook niet mis. Je riskeert om 4 procent van je wereldwijde jaaromzet te moeten afstaan, dat kan voor zwaargerwichten in de economie oplopen tot in de miljoenen. ‘Voorheen waren de boetes veel lichter. Sommige bedrijven namen die dan gewoon voor lief, zodat ze regels konden overtreden. Ik verwacht dat deze bedragen bedrijven zullen weerhouden om dat nog te doen’, zegt Jansen. Aanpak Afhankelijk van de core business van een bedrijf en in welke branche het opereert, kan het veel extra werk opleveren om alle data te verzamelen, analyseren en te verslaan. ‘Het ligt er ook aan hoe goed je overzicht van alle data nu is. Als je een IT-systeem hebt waarin alle orders netjes zijn opgeslagen, hoeft het niet veel werk te zijn. Maar als je die gegevens niet verzameld hebt, of op verschillende plekken, ben je langer bezig. Wij werken nu samen met corporate bedrijven die zich aan het voorbereiden zijn op de nieuwe regels. Sommigen van hen hebben complete task forces opgezet, die enkel bezig zijn met het verzamelen en analyseren van alle gegevens. In een corporate heb je natuurlijk veel medewerkers en verschillende afdelingen en divisies, daardoor raakt een bedrijf gemakkelijk het overzicht kwijt.’ Bescherming consument Daarnaast krijgt de consument een helpende hand toegereikt door de EU. De afgelopen jaren is de maatschappelijke discussie opgelaaid over privacy, vaak in een adem met bedrijven als Apple, Google en Facebook. Die bedrijven staan erom bekend veel te weten van hun gebruikers. Consumenten mogen bij bedrijven opvragen welke gegevens er over hen bekend zijn, dat bedrijf moet aan dit verzoek voldoen. Daarnaast mogen consumenten aangeven of ze willen dat hun gegevens worden doorgestuurd naar een andere partij. ‘Als je bijvoorbeeld van verzekeraar of bank wisselt, kan dat heel handig zijn. Dat geldt ook voor sociale media. Stel er komt een nieuw social media-platform op dat enorm trending wordt. Je mag dan aan Facebook vragen om jouw data door te sturen naar dat nieuwe platform.’ Cybercrime Ook is gedacht aan cybercrime binnen de verordening, een steeds meer voorkomende vorm van criminaliteit. Bedrijven hadden al de plicht om datalekken te melden, sinds de Meldplicht in 2016 werd ingesteld. ‘Ook die regels worden uitgebreid in de vorm van privacy by design. Een bedrijf moet hun gegevens ‘adequaat’ beveiligen volgens de nieuwe regels. Hierin krijgen bedrijven iets meer ruimte voor eigen invulling. Een brakke fiets is namelijk niet even waardevol als een medisch dossier. Deze moeten dus, gekeken naar de waarde van het product, op verschillende manieren worden beveiligd.’   Data verzamelen Voor veel bedrijven is het verzamelen van data erg waardevol. Op die manier kunnen ze profielen samenstelling van hun gebruikers, klanten, leveranciers en partners. De ruimte die ze daar nu voor hebben wordt flink ingeperkt door de GDPR. ‘Veel organisaties zullen hier niet blij mee zijn. Ze gebruiken die data namelijk als middel tot een doel. Vaak is dat het sturen van een nieuwsbrief, advertentie of actie. Maar ze kunnen dat doel ook op andere manieren bereiken. Ze mogen nog steeds bepaalde data verzamelen, zo lang het maar niet herleidbaar is naar een individu. Maar anonimiseren ze de informatie, dan is die nog steeds waardevol.’ Jansen ziet de nieuwe regels ook als een kans voor bedrijven om het vertrouwen van de consument terug te winnen. ‘Het consumentenvertrouwen is flink geschaad als het aankomt op privacy. Bedrijven moeten dit zien als een kans om hun vertrouwen terug te winnen. Als je toch transparant moet zijn van de wet, gebruik dat dan om bij het publiek aan te geven dat je eerlijk en betrouwbaar bent als bedrijf. Consumenten kunnen er steeds makkelijker achter komen wat je over ze weet, en bovendien worden ze steeds kritischer. Doe daar je voordeel mee.’ Getty
Je leest nu: GDPR: dit moet je weten over de nieuwe regelgeving van data- en privacybeveiliging

Voor veel bedrijven zal de werkwijze gaan veranderen, mogelijk zelfs hele IT-systemen. Dat kan flink in de cijfers lopen. ‘Maar dat geldt zeker niet voor alle bedrijven’, stelt advocaat Jurriaan Jansen. Hij is gespecialiseerd in onder andere IT-recht en werkt voor internationaal advocatenkantoor Norton Rose Fulbright. ‘Deze nieuwe regels zijn in de basis helemaal niet zo verschillend van de oude, ze zijn wel een stuk uitgebreider. Bovendien zijn er strengere sancties aan verbonden en wordt de controle door de toezichthouder beter geregeld.’

Wbp

Nederland gebruikt als het gaat om data en privacy nu nog de Wet bescherming persoonsgegevens (Wbp), die sinds 2001 van kracht is. ‘De huidige wetgeving binnen de EU is gebaseerd op een Europese richtlijn, maar er zijn toch grote verschillen tussen de nationale wetten per land’, legt Jansen uit. ‘De nieuwe verordening geldt in de hele Europese Unie. Het is een set van regels die aangeven hoe bedrijven met data en privacy om moeten gaan. 95 procent van de verordening is ingevuld door de EU en staat dus vast, 5 procent laat ruimte open voor eigen invulling per land.’

GDPR

De Algemene Verordening Gegevensbescherming is een Nederlandse vertaling van de General Data Protection Regulation, ofwel GDPR. Het is de opvolger van de Wbp die is geüpdatet naar de standaarden van deze tijd. ‘De kern van de verordening is dat bedrijven veel bewuster met data om moeten gaan. Zo mogen niet meer zomaar informatie over (potentiële) klanten opslaan en bewaren. Een verzekeraar of bank mag bijvoorbeeld niet zomaar meer risicoprofielen maken van klanten. Daarnaast krijgt de consument meer rechten toegewezen, zodat die meer invloed heeft op de informatie die bedrijven hebben.

Accountability

Een belangrijke verandering volgend jaar is de acountability van bedrijven. Jansen: ‘Alle bedrijven die gegevens verzamelen over hun klanten, zoals hun leeftijd, sekse, woonplaats, religie, sociale media en persoonlijke voorkeuren, moeten kunnen aantonen dat ze zich aan de regels houden. De Autoriteit persoonsgegevens, de Nederlandse toezichthouder, kan dit controleren. Bedrijven moeten bij gaan houden welke informatie ze hebben, over wie, waarom, hoe lang ze de gegevens bewaren en wat ze er precies mee doen. De regelgeving stelt dat er zo min mogelijk gegevens bewaard mogen worden en bedrijven moeten zelf beoordelen of het datagebruik gerechtvaardigd is of niet. Als je bij Bol.com voortaan een boek bestelt en daarvoor gegevens moet invoeren, mag het bedrijf dus niet zomaar jouw gegevens bewaren. Alles moet gedocumenteerd verantwoord worden. Daar zijn nu wel aanvullende regels voor opgesteld, zodat een bedrijf weet waar het aan moet voldoen.’

De Autoriteit Persoonsgegevens was de afgelopen jaren al belast met de controle van de regels, maar deed dit nauwelijks. ‘Ze hebben nu ongeveer 80 medewerkers in dienst en gebruiken een budget van 8 miljoen per jaar. Daarmee kun je natuurlijk onmogelijk alle Nederlandse bedrijven controleren. Ik verwacht daarom dat de toezichthouder flink zal gaan uitbreiden de komende jaren’, aldus Jansen.

Sancties

Dat zal ook wel moeten, want de GDPR belooft dat ook de controle veel strenger gaat worden. De sancties die je als bedrijf opgelegd kunt krijgen als je de regels overtreedt, zijn ook niet mis. Je riskeert om 4 procent van je wereldwijde jaaromzet te moeten afstaan, dat kan voor zwaargewichten in de economie oplopen tot in de miljarden. ‘Voorheen waren de boetes veel lichter en werden er niet veel uitgedeeld. Sommige bedrijven namen het risico op een boete voor lief. Ik verwacht dat deze sancties bedrijven zullen weerhouden om dat nog te doen’, zegt Jansen.

Aanpak

Afhankelijk van de core business van een bedrijf en in welke branche het opereert, kan het veel extra werk opleveren om alle data te verzamelen, analyseren en te documenteren. ‘Het ligt er ook aan hoe goed je overzicht van alle data nu is. Als je een IT-systeem hebt waarin alle orders netjes zijn opgeslagen, hoeft het niet veel werk te zijn. Maar als je die gegevens niet verzameld hebt, of op verschillende plekken, ben je langer bezig. Ik werk nu samen met een aantal corporate bedrijven die zich aan het voorbereiden zijn op de nieuwe regels. Sommigen van hen hebben complete task forces opgezet, die enkel bezig zijn met het verzamelen en analyseren van alle persoonsgegevens en het implementeren van de nieuwe regels. In een corporate heb je natuurlijk veel medewerkers en verschillende afdelingen en divisies, daardoor raakt een bedrijf gemakkelijk het overzicht kwijt.’

Bescherming consument

Daarnaast krijgt de consument een helpende hand toegereikt door de EU. De afgelopen jaren is de maatschappelijke discussie opgelaaid over privacy, vaak in een adem met bedrijven als Apple, Google en Facebook. Die bedrijven staan erom bekend veel te weten van hun gebruikers. Consumenten mogen bij bedrijven opvragen welke gegevens er over hen bekend zijn, dat bedrijf moet aan dit verzoek voldoen. Dat recht heeft de consument nu ook al, maar de regels en sancties zijn verscherpt. Daarnaast mogen consumenten aangeven of ze willen dat hun gegevens worden doorgestuurd naar een andere partij. ‘Als je bijvoorbeeld van verzekeraar of bank wisselt, kan dat heel handig zijn. Dat geldt ook voor sociale media. Stel er komt een nieuw social media-platform op dat enorm trending wordt. Je mag dan aan Facebook vragen om jouw data door te sturen naar dat nieuwe platform.’

Cybercrime

Ook is gedacht aan cybercrime binnen de verordening, een steeds meer voorkomende vorm van criminaliteit. Bedrijven hadden al de plicht om datalekken te melden, sinds de Meldplicht in 2016 werd ingesteld. ‘Ook die regels worden uitgebreid in de vorm van privacy by design. Hierbij wordt van bedrijven verwacht dat ze rekening houden met het gebruik van persoonsgegevens bij de ontwikkeling van nieuwe producten of diensten. Een bedrijf moet hun gegevens ‘adequaat’ beveiligen volgens de nieuwe regels. Hierin krijgen bedrijven iets meer ruimte voor eigen invulling. Een brakke fiets is namelijk niet even waardevol als een medisch dossier. Deze moeten dus, gekeken naar de waarde van het product, op verschillende manieren worden beveiligd.’  

Data verzamelen

Voor veel bedrijven is het verzamelen van data erg waardevol. Op die manier kunnen ze profielen samenstelling van hun gebruikers, klanten, leveranciers en partners. De ruimte die ze daar nu voor hebben wordt flink ingeperkt door de GDPR. ‘Veel organisaties zullen hier niet blij mee zijn. Ze gebruiken die data namelijk als middel tot een doel. Vaak is dat het sturen van een nieuwsbrief, advertentie of actie, maar ook het maken van een klantenprofiel. Dat doel kunnen ze ook op andere manieren bereiken. Ze mogen nog steeds bepaalde data verzamelen, zo lang het maar niet herleidbaar is naar een individu. Maar anonimiseren ze de informatie, dan is die nog steeds waardevol.’

Jansen ziet de nieuwe regels ook als een kans voor bedrijven om het vertrouwen van de consument terug te winnen. ‘Het consumentenvertrouwen is flink geschaad als het aankomt op privacy. Bedrijven kunnen dit zien als een kans om hun vertrouwen terug te winnen. Als je toch transparant moet zijn van de wet, gebruik dat dan om bij het publiek aan te geven dat je eerlijk en betrouwbaar bent als bedrijf. Consumenten kunnen er steeds makkelijker achter komen wat je over ze weet, en bovendien worden ze steeds kritischer. Doe daar je voordeel mee.’