Achtergrond

“Publieke cloud voldoet niet aan nieuwe privacywetgeving”

[Interview] Als director Regulatory Compliance bij CTG, zit Fabienne Lens zowat dagelijks met haar de neus in wetteksten. Dit om te zorgen dat IT-systemen correct zijn afgestemd op de regelgeving. De strengere Europese privacywetgeving maakt dat bedrijven maar beter op tijd beginnen aan het in kaart brengen van hun data.

 

Van de vier business units van IT-consultancybedrijf CTG is die van Regulatory Compliance het buitenbeentje. “In onze afdeling vind je geen pure IT’ers. Onze taak is zorgen dat alles inzake IT conform de wetgeving gebeurt.” Daarbij richt deze afdeling zich historisch op de farmaceutische sector – waar men al zeer lang een strenge wetgeving kent – en waar CTG o.a. bio-ingenieurs een specifieke opleiding voorziet, zodat ze eigenhandig haar klanten op een audit kunnen voorbereiden.

Opleiden

Met de komst van de nieuwe, verstrengde privacywetgeving komt er een heel ander soort profiel bij: rechtenstudenten, en meer specifiek de masters in Europees recht. Zij worden bij CTG opgeleid tot Data Protection Officer (DPO), ofwel de persoon die ondernemingen moet klaarstomen om compliant te worden én te blijven met de nieuwe wet. “We hebben zelf al zes DPO’s in dienst die bij klanten gaan. Zij hebben ook de trainingen opgesteld en zullen vanaf oktober les geven aan de nieuwelingen,” klinkt het. Een DPO aanstellen is niet verplicht, tenzij voor overheidsinstellingen en voor bedrijven die ‘veel werknemers in dienst hebben’, over ‘veel gevoelige data beschikken’ of ‘op grote schaal gegevens analyseren’.

Globale impact

Op 24 mei 2016 is de General Data Protection Regulation (GDPR) in voege getreden. Doel van de wet is om de privacy van Europeanen beter te garanderen door verwerkers van persoonsgegevens strengere regels op te leggen. “Het is de allereerste keer in de geschiedenis dat er zo’n groots en weids opgezette, allesomvattende regelgeving bestaat. Het hele punt van de GDPR is om Europese burgers te beschermen, ook tegen bedrijven buiten Europa. Het is een Europese wet, met een globale impact,” legt Lens uit.

 

Een groot verschil met de oude privacywetgeving is dat de GDPR meer transparantie eist inzake de verwerking en beveiliging van persoonsgegevens. “Als bedrijf moet je heel specifiek kunnen aangeven over welke informatie je beschikt, voor welke doeleinden je die gebruikt, wie er allemaal toegang toe heeft, en hoe je deze beschermt,” waarschuwt Lens.

 

En dat blijkt een probleem: “De meeste bedrijven weten niet precies welke data ze hebben. En als ze het wel weten, dan blijken ze over veel te veel data te beschikken, en kunnen ze niet zeggen wie waar aankan. Bovendien is dat alles zelden goed gedocumenteerd. En het hele verhaal van regelgeving is dat als het niet gedocumenteerd is, dat het dan ook niet uitgevoerd is.” Fabienne Lens waarschuwt ook de gezondheidssector en in het bijzonder ziekenhuizen: “Daar is veel patiënteninformatie, vaak extreem gevoelige informatie, waar slordig mee wordt omgegaan.”

 

“De publieke cloud voldoet niet aan de GDPR omdat het niet toelaat de plaats en confidentialiteit van gegevens te garanderen”

Cloud

Wat CTG vandaag vooral doet is het uitvoeren van assessments bij bedrijven. “Vanaf het moment dat de wet van kracht werd, hebben we een enorme instroom aan vragen gehad, en heel veel assessments uitgevoerd. Daaruit blijkt dat weinig bedrijven op de hoogte zijn van wat de wet precies voorschrijft, en hoe ze dat moeten vertalen naar hun bedrijf.” Alleen al het in kaart brengen van de data-flow blijkt geen vanzelfsprekendheid, zeker in tijden van cloud.

 

Zo worden cloud serviceproviders volgens de GDPR beschouwd als processors of verwerkers, en moeten ze bijgevolg aan de GDPR-vereisten voldoen. Zo voldoet volgens Lens de publieke cloud niet aan de GDPR, omdat “het niet toelaat de plaats en confidentialiteit van gegevens te garanderen”. Een private cloud daarentegen “wordt opgezet voor en gebruikt door één organisatie, geeft controle over plaats, integriteit, beschikbaarheid en confidentialiteit van de gegevens en kan dus wél worden gebruikt voor opslag van gegevens die aan de GDPR moeten voldoen.” Ook de hybride cloud kan onder strikte voorwaarden en controles voor GDPR-doeleinden gebruikt worden, meent Lens.

 

De controller (afnemer van de service) is hoe dan ook verantwoordelijk voor de verwerking van de gegevens en moet er op toezien dat de gegevens worden verwerkt zoals voorgeschreven door de GDPR. “Bij een datalek is ook de controller verantwoordelijk voor de notificatie aan de Belgische privacycommissie. En bij ernstige gevallen ook aan de personen wiens gegevens geïmpacteerd zijn,” klinkt het nog.

2018

Is (minder dan) twee jaar voldoende om compliant te geraken met de GDPR-wet? Fabienne Lens: “De mate waarin je al gevorderd bent ten opzichte van de vorige privacywet, bepaalt natuurlijk voor een stuk wat je vandaag met de GDPR moet gaan doen. Duitsland had bijvoorbeeld al een hele goede privacywet, en daar gaan de bedrijven veel minder werk hebben door de GDPR.”

 

Voor Belgische bedrijven ziet Lens het wel realistisch om in mei 2018 klaar te zijn… mits een goed plan. “Je moet vooral zo snel mogelijk nu de zaken in kaart brengen. Zelfs al zou een doorlichting je met de neus op de feiten drukken, en aangeven dat je met twee jaar niet toekomt, dan kan je met een goed uitgewerkt plan tonen dat je de GDPR au serieux neemt. Bij een eventuele inspectie gaat dat zeker in je voordeel spelen.”

businesscloudctgdata protection officerDPOgdprinterviewitprofessionalprivacywetgeving

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken