De Algemene verordening gegevensbescherming (AVG) is de vertaling van de General Data Protection Regulation (GDPR) en vervangt vanaf 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp). De GDPR is een richtlijn waarmee de Europese Commissie de persoonsgegevens binnen de Europese Unie (EU) strenger gaat beschermen. De GDPR synchroniseert alle huidige lokale databeschermingswetten en gaat gelden voor alle landen in de EU. Ook worden in de verordening regels vastgelegd voor het exporteren van persoonsgegevens buiten de EU.
Substantiële uitdagingen
De nieuwe regels brengen substantiële wijzigingen en uitdagingen met zich mee voor organisaties die werken met persoonsgegevens van EU-burgers. De regels leggen vast hoe organisaties persoonsgegevens mogen verzamelen, verwerken, opslaan en overdragen.
Tegen het einde van mei 2018 moeten bedrijven passende technische en organisatorische maatregelen hebben doorgevoerd en kunnen aantonen dat zij voldoen aan de nieuwe richtlijnen. Verder zijn bedrijven verplicht om deze maatregelen doorlopend te beoordelen en indien nodig, bij te stellen.
Gevolgen van de GDPR voor uw bedrijf
De GDPR heeft aanzienlijke impact op de manier waarop bedrijven in de toekomst met data en vooral persoonsgegevens om mogen gaan.
Lokaliseren van data
Een zeer ingrijpend aspect van de GDPR is dat iedere burger het recht krijgt om op elk gewenst moment van een organisatie te eisen dat deze alle over hem of haar opgeslagen persoonsgegevens verwijdert. Alle organisaties moeten op ieder moment kunnen aantonen dat zij daar inderdaad toe in staat zijn. Dat betekent dat u dus op ieder moment, binnen afzienbare tijd moet kunnen aantonen wat u over een bepaald persoon hebt opslagen en waar.
Een effectief pad naar naleving van deze steeds strengere wetten voor privacybescherming, begint daarom met het achterhalen waar informatie zich bevindt en wat er moet worden beveiligd.
Bescherming van data
Een andere substantiële consequentie is dat door de strengere wetgeving, ook onbedoelde openbaring van persoonsgegevens, bijvoorbeeld tijdens corporate transacties, interne of externe onderzoeken, veel serieuzere gevolgen gaan hebben. Onder de GDPR kunnen sancties voor inbreuk op privacy oplopen tot 4 procent van de wereldwijde jaaromzet of 20 miljoen dollar (wat groter is).
Encryptie speelt een belangrijke rol in het beveiligen van data. Ook daarvoor is het belangrijk goed te weten welke data u hebt, waar deze staat en welke data u moet beveiligen. En om praktische en kostentechnische redenen is het verstandig om te bekijken welke data versleuteld moet worden en welke niet.
Een zeer praktisch en veilige oplossing is het beheren en verwerken van uw data op zwaarbeveiligde cloud-servers. ZyLAB bijvoorbeeld levert haar gehele SAAS-oplossing via Microsoft Azure.
Overdragen van data
Helemaal lastig worden de regels die de GDPR neerlegt voor organisaties die regelmatig persoonsgegevens overdragen aan bedrijven en instanties over de grens. Voordat u data op een verantwoorde manier kunt overdragen, moeten alle persoonsgegevens geïdentificeerd en geanonimiseerd zijn. En de transactie moet natuurlijk veilig zijn.
Uitgebreide tips over wat u nu al kunt doen om uw bedrijf voor te bereiden op de GDPR, worden behandeld in het webinar “Bereid uw bedrijf op voor de General Data Protection Regulation” met Machteld Hiemstra, counsel bij het internationale advocatenkantoor Simmons & Simmons en leest u in het (Engelstalige eBook), “Technologie in het tijdperk van de GDPR”.
Zie ook het gehele artikel in het eMagazine LegalBusinessWorld 2017|nr.5 (pagina 24)
Over de auteur
Prof. dr. ir. Johannes (Jan) C. Scholtes is Chairman en Chief Strategy Officer van ZyLAB. Scholtes was als ZyLAB’s President en CEO van 1989 tot 2009 betrokken bij het inzetten van eDiscovery software bij onder andere de Oorlogsmisdaden Tribunalen van de VN, de FBI-Enron onderzoeken, het Witte Huis en duizenden andere gebruikers wereldwijd. Voordat hij in 1989 bij ZyLAB begon, was Scholtes luitenant bij de inlichtingendienst van de Koninklijke Nederlandse Marine. Scholtes is ingenieur (ir.) in de Informatica (TU Delft), doctor in ‘Computational Linguistics’ (Universiteit van Amsterdam) en bekleedt sinds 2008 de buitengewone leerstoel ‘Text Mining’ van de faculteit “Data Sciences and Knowledge Engineering” in de Artificial Intelligence groep van der Universiteit van Maastricht.