GDPR in een notendop: 6 experts over de nieuwe privacy-wetgeving

25 mei 2018 is het zover: de General Data Protection Regulation treedt dan officieel in werking. De nieuwe privacy-wetgeving dwingt bedrijven om hun databeleid grondig te herzien, maar zorgt tegelijkertijd voor heel wat verwarring.

 
Vaak zijn vooral de dreigende boetes bekend, die tot 4 procent van de jaarlijkse, wereldwijde omzet van een bedrijf kunnen bedragen. Hoe die boetes nu net vermeden moeten worden, is voor velen niet zo duidelijk. Op het Business Meets IT-seminar over de GDPR proberen zes experten daar verandering in te brengen.
 

De hype

Marc Vael – Smals
Als eerste is Marc Vael aan de beurt, security, privacy & IT audit executive bij Smals. Wanneer hij vraagt hoeveel aanwezigen de eigenlijke wettekst van de GDPR er al op na sloegen, laten meesten hun hand naar beneden. Voor hen overloopt Vael de hoogtepunten van de nieuwe wetgeving. De GDPR is Europa’s poging om de privacy-wetgeving op het continent te harmoniseren. Daarbij werden een aantal verstrengingen doorgevoerd en staat de Europese burger centraal; wanneer het gaat om hun persoonsgegevens, hebben ze enkele plichten, maar vooral veel rechten. Dat betekent eveneens dat bedrijven aan de slag moeten gaan om de data die zij verzamelden over burgers – en hun personeel – strikt te reguleren. Tools die beloven zulke controle mogelijk te maken schieten dan ook als paddenstoelen uit de grond. “Don’t believe the hype,” waarschuwt Vael. “Er is geen enkele tool die je bedrijf compliant maakt. Dat kan niet. De mens moet de aanpassingen doorvoeren, en technologie is slechts een hulpmiddel.”
Onder andere raadt Vael aan om data en verwerkingsprocessen in kaart te brengen, door bijvoorbeeld een inventaris te maken van alle verzamelde gegevens. Zeker is dat bedrijven daardoor ook meer te weten komen over hun eigen werking. “Er zijn veel voordelen gebonden aan compliancy: minder financieel risico, ‘peace of mind’, maar ook meer inzichten. Je bekijkt ten slotte heel de levenscyclus, en alle bedrijfsprocessen omtrent data: ik ben ervan overtuigd dat je veel zal bijleren.”

Marc Vael, security, privacy & IT audit executive bij Smals

Spaarzaam met boetes

Willem Debeuckelaere – Privacycommissie
De hype die de GDPR met zich meebracht, doet soms geloven dat de wetgeving zijn eerste in zijn soort is. Dat dat niet klopt, legt Willem Debeuckelaere, voorzitter van de Belgische Privacycommissie, uit. In 1981 werd de eerste voorloper van de GDPR voorgesteld, en ook daar vinden we dezelfde basisbeginselen terug. Er is eigenlijk zelfs niet zoveel vernieuwd in de nieuwste versie van de privacy-wetgeving, volgens Debeuckelaere. Een van de belangrijkste veranderingen draait rond ‘accountability’. Bedrijven zijn volgens de GDPR zelf verantwoordelijk om de wetgeving na te leven én om te bewijzen dat ze dat doen. “Vroeger moest de autoriteit in staat zijn om aan te tonen dat het bedrijf in fout was, maar dat is nu gedaan,” verklaart hij. “Zowel de verwerker als de verwerkingsverantwoordelijke moeten kunnen bewijzen dat ze compliant zijn.” Een andere, niet onbelangrijke vernieuwing is de nadruk op risico. Vanaf 2018 wordt van bedrijven verwacht dat ze ook rekening houden met mogelijke risico’s die hun dataverwerking met zich meebrengt. Zelf moeten ze die risico’s opsporen en inschatten. Dat, gecombineerd met andere concepten als de DPO, de melding van datalekken, privacy by design en default, zorgt er uiteindelijk voor dat de verantwoordelijkheid omtrent privacy in de schoot van de dataverwerker en verwerkingsverantwoordelijke wordt geworpen. En wat de boetes betreft? “Daar gaan we spaarzaam mee om,” belooft Debeuckelaere. “We gaan alleen de grove zaken zo aanpakken. Voor de rest voorzien we aandachtspunten en zien we er wel op toe dat die nagekomen worden.”

Willem Debeuckelaere, voorzitter Belgische Privacycommissie

Shift tegen 2018

Bart Van Den Brande – Sirius Legal
Data zijn geld waard. Dat is in elke sector zo, maar komt toch vooral naar boven in het domein van marketing. Dankzij gegevens te verzamelen over (potentiële) klanten kunnen marketeers achterhalen wat de klant wilt, droomt en verafschuwt. Dat maakt dat data letterlijk geld waard zijn, legt Bart Van Den Brande van Sirius Legal uit. “Data zijn een betaalmiddel geworden. Een gratis app is niet gratis: je geeft je gegevens in ruil en weet vaak niet wat ermee gebeurt.” Dat betekent eveneens dat de oude wetgeving plaats moet maken voor een moderner equivalent in de vorm van de GDPR. De wetgeving is daarom niet meteen compatibel met online marketing, zegt Van Den Brande. “Alle regels die in de GDPR worden geïntroduceerd, staan in schril contrast met wat er vandaag in marketing gebeurt. Ze vereisen een fundamentele shift in visie tegen mei 2018.”
 
Zo gaan vele marketingactiviteiten uit van een onwetendheid bij de gebruiker. Neem ‘heat mapping’, het tracken van de cursor op een website om bijvoorbeeld te weten te komen op welke knoppen het meest worden geklikt door de gebruiker. Het proces gebeurt zonder de toestemming of zelfs maar de kennis van de bezoeker, terwijl er in essentie toch gegevens over zijn surfgedrag worden verzameld. Absoluut ondenkbaar volgens de GDPR, meent Van Den Brande, en dus onmogelijk in 2018.
“De impact van GDPR op dagelijkse werking is wel degelijk groot,” verklaart hij. “Doe je ogen niet dicht, maar ga op tijd aan de slag.”
 

Bart Van Den Brande, Sirius Legal

 

GDPR in de cloud

Patrick Van Asch – Microsoft
De cloud maakt GDPR-compliancy er niet makkelijker op. Gegevens bewaren in de virtuele wolk maakt het ingewikkeld om exact te weten waar de data zich bevinden, wie toegang heeft en hoe ze beschermd worden. Clouddienstverleners buigen zich dan ook massaal over het probleem, en niet het minst omdat ook zij compliant moeten worden met de GDPR. Ook Microsoft bereidt zich voor op mei 2018, vertelt Patrick Van Asch. Onder andere worden bestaande contracten uitgerust met ‘contractuele commitments’ waarmee Microsoft verzekert dat ze klaar zijn om eisen zoals dataportabiliteit en het recht op vergeten na te leven. Maar hoe start je als bedrijf met data in de cloud nu aan de weg naar compliancy? Van Assche zet de stappen op een rij. Allereerst de ontdekkingsfase: “Identificeer waar je data zitten en wie ermee werkt.” Daarnaast is ook de beheerfase belangrijk, waarbij data governance gecombineerd wordt met data classification. De vierde stap, bescherming, draait om het voorkomen, detecteren en reageren op datalekken; cruciaal om boetes te voorkomen. “Dat is natuurlijk niet alles. Het is niet zo dat je een label van compliant opgeplakt krijgt, dat je plots niets meer moet doen. Het blijft continu evolueren.”
Om te beginnen kunnen bedrijven echter al klein starten. Onmiddellijke updates en absolute must-do’s krijgen voorrang, en vormen de eerste stap naar compliancy. Daarna is het vooral van belang om compliancy te integreren in de bedrijfscultuur, aldus Van Asch. “Vraag jezelf af: is dit deel van onze cultuur? Hoe gaan we om met data? En: hoe bewijzen we dat?”
 

Patrick Van Asch, Microsoft

Compliant door continuity

Marc Tielemans – RealBCP
Wie zich inzet voor business continuity, heeft mogelijk al een voorsprong op GDPR-compliancy. “Als je business continuity nastreeft in je bedrijf, draag je rechtstreeks bij tot een goed GDPR-beleid,” aldus Marc Tielemans van RealBCP. Beide beogen een gelijkaardig doel. Dat wordt al merkbaar in de definitie van een ‘datalek’: een datalek is volgens de letter van de wet niet alleen de diefstal of het verlies van gegevens, maar ook de onbeschikbaarheid van die gegevens. Met een degelijk business continuity-strategie ga je dat laatste scenario alvast tegen, maar ook andere mogelijke problemen uit de weg. “Stel je voor dat je een verzoek krijgt om data te wissen: dat moet je binnen één maand beantwoorden. Als je op dag 28 zit, en je wordt opgezadeld met een rampscenario zoals een brand waardoor de deadline verstrijkt: dan zit je met een datalek-situatie.” De regels voor een goed business continuity-strategie leunen eveneens aan bij het proces naar compliancy: data inventariseren, risico’s opsporen en inschatten zullen beide ten goede komen.
Een grote rol in zowel business continuity en de GDPR is eveneens security: de beveiliging van gegevens en processen omtrent data. Een goede security is echter geen garantie voor GDPR-compliancy, klinkt het. “Wanneer je goed bent in security, betekent dat niet dat je goed bent in de GDPR.”
 

Marc Tielemans, RealBCP

Het jaar van phishing

Jerco Veltjen – Sophos
Datalekken worden in de GDPR streng bestraft. Maar hoe gebeurt een datalek nu net? Vraag het mensen, en velen zullen zich meteen een hacker met zwarte kaptrui inbeelden. In praktijk ziet een datalek er net iets anders uit, weet Jerco Veltjen van Sophos. Bijna een vierde van alle datalekken gebeuren via een menselijke fout. Zo’n 17 procent wordt domweg veroorzaakt door het verlies van een fysiek toestel zoals een smartphone. Cybercriminelen proberen echter wel data te veroveren op andere manieren: exploit kits, malvertising of andere malafide praktijken. De gestolen gegevens kunnen ze bijvoorbeeld gebruiken om goed geïnformeerde phishing-aanvallen op te zetten. Indien ze weten dat je net een lening hebt aangevraagd, kunnen ze een mail sturen die over die aanvraag lijkt te gaan, waardoor de kans vele malen groter is dat je er op klikt, legt Veltjen uit. “Als 2016 het jaar van de exploit kit was, dan is 2017 het jaar van phishing. Aanvallen zijn zo sterk verbeterd dat je haast niet meer ziet dat ze vervalst zijn, met alle gevolgen vandien.” Soms mikken cybercriminelen iets hoger en doen ze aan spearphishing. In zo’n aanval viseren ze geen doorsnee werknemer, maar een bedrijfsleider of andere verantwoordelijke die wellicht toegang heeft tot meer geld of data.
Anders gezegd, met één welgemikte mail kan een sterk databeleid worden omvergeworpen, is de conclusie. Bedrijven kunnen zich wel beschermen door hun werknemers te trainen om phishing-mails te herkennen – hoewel ook dat moeilijker wordt – maar kunnen om zich te beschermen tegen eender welke cyberaanval ook vertrouwen op security-tools zoals anti-encryptie-, antimalware- en andere oplossingen. “Een firewall is een standaard voor iedereen,” geeft Veltjen mee.

Jerco Veltjen, Sophos

 
Lees verder over de GDPR:
5 belangrijke stappen om je bedrijf klaar te stomen voor de GDPR
GDPR: Wanneer doe je aan cross-border dataverwerking?
Wat is het recht op dataportabiliteit?
Zo weet je of je een data protection officer nodig hebt

businessbusiness meets itdataevent reportgdprprivacywetgeving

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600