De Nederlandse Algemene verordening gegevensbescherming (AVG) is de vertaling van de General Data Protection Regulation (GDPR) en vervangt in Nederland, vanaf 25 mei 2018, de huidige Wet bescherming persoonsgegevens (Wbp).
De GDPR is een richtlijn waarmee de Europese Commissie de persoonsgegevens binnen de Europese Unie (EU) strenger gaat beschermen. De GDPR synchroniseert alle huidige lokale databeschermingswetten en gaat gelden voor alle landen in de EU. Ook worden in de verordening regels vastgelegd voor het exporteren van persoonsgegevens naar landen buiten de EU.
Substantiële uitdagingen
De nieuwe regels brengen substantiële wijzigingen en uitdagingen met zich mee voor organisaties die werken met persoonsgegevens van EU-burgers. De nieuwe verordening legt vast hoe organisaties persoonsgegevens mogen verzamelen, verwerken, opslaan en overdragen.
Tegen het einde van mei 2018 moeten bedrijven passende technische en organisatorische maatregelen hebben doorgevoerd en kunnen aantonen dat zij voldoen aan de nieuwe richtlijn. Verder zijn bedrijven verplicht om deze maatregelen doorlopend te beoordelen en indien nodig, bij te stellen.
Kernelementen van de GDPR
Bedrijven hebben twee jaar de tijd om te voldoen aan de regels van de GDPR. Als zij na 25 mei 2018 niet voldoen aan de eisen van de GDPR, lopen zij kans op forse boetes en reputatie- en imagoschade.
Hieronder een opsomming van de belangrijkste aspecten van de GDPR:
Privacybeleid
Organisaties moeten hun privacybeleid duidelijk op hun website publiceren en aan klanten in heldere taal hun rechten uitleggen.
Uitdrukkelijke toestemming
Organisaties zijn verplicht om vooraf, via een eenduidige verklaring of actie, uitdrukkelijke toestemming te verkrijgen van de betrokkenen voordat gegevens mogen worden verzameld. Betrokkenen moeten in staat zijn om hun toestemming te allen tijde in te trekken.
Meldplicht datalekken
Organisaties moeten binnen 72 uur na ontdekking, datalekken melden bij de autoriteiten en een register bijhouden van alle inbreuken. Betrokkenen moeten worden ingelicht over eventuele inbreuken op hun niet-versleutelde persoonsgegevens.
Meer rechten
Burgers hebben de mogelijkheid om hun eigen gegevens in te zien en te laten wissen als ze daarom vragen (het recht om vergeten te worden). Daarnaast moeten klanten hun persoonlijke gegevens in een handzaam formaat kunnen laten overdragen naar bijvoorbeeld een andere provider.
Voortdurende controle
Organisaties die persoonsgegevens verzamelen, verwerken, opslaan en overdragen, worden verplicht om ‘data protection impact assessments’ uit te voeren om de privacyrisico's te identificeren en passende maatregelen te ondernemen.
Data Protection Officers (DPO’s)
Alle organisaties, ook buiten de EU, die op grote schaal persoonsgegevens van EU-burgers verwerken, zijn verplicht om een Data Protection Officer te benoemen.
Gevolgen van de GDPR voor uw bedrijf
De GDPR heeft aanzienlijke impact op de manier waarop bedrijven in de toekomst met data en vooral persoonsgegevens om mogen gaan.
Lokaliseren van data
Een zeer ingrijpend aspect van de GDPR is dat iedere burger het recht krijgt om op elk
gewenst moment van een organisatie te eisen dat deze alle over hem of haar opgeslagen persoonsgegevens verwijdert. Alle organisaties moeten op ieder moment kunnen aantonen dat zij daar inderdaad toe in staat zijn. Dat betekent dat u dus op ieder moment, binnen afzienbare tijd moet kunnen aantonen wat u over een bepaald persoon hebt opslagen en waar. Een effectief pad naar naleving van deze steeds strengere wetten voor privacy-bescherming, begint daarom met het achterhalen waar informatie zich bevindt en wat er moet worden beveiligd.
Bescherming van data
Een andere substantiële consequentie is dat door de strengere wetgeving, ook onbedoelde openbaring van persoonsgegevens, bijvoorbeeld tijdens corporate transacties, interne of externe onderzoeken, veel serieuzere gevolgen gaat hebben. Onder de GDPR kunnen sancties voor inbreuk op privacy oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen dollar. Encryptie speelt een belangrijke rol bij het beveiligen van data. Ook daarvoor is het belangrijk goed te weten welke data u hebt, waar deze staat en welke data u moet beveiligen. En om praktische en kostentechnische redenen is het verstandig om te bekijken welke data versleuteld moeten worden en welke niet. Een zeer praktische en veilige oplossing is het beheren en verwerken van uw data op zwaarbeveiligde cloud-servers. ZyLAB bijvoorbeeld levert haar gehele SaaS-oplossing via Microsoft Azure.
Overdragen van data
Helemaal lastig worden de regels die de GDPR neerlegt voor organisaties die regelmatig persoonsgegevens overdragen aan bedrijven en instanties over de grens. Voordat u data op een verantwoorde manier kunt overdragen, moeten alle persoonsgegevens geïdentificeerd en geanonimiseerd zijn. En de transactie moet natuurlijk veilig zijn.
Voorbereiden op de GDPR
Bedrijven over de hele wereld doen er daarom goed aan de manier waarop zij persoonsgegevens opslaan en gebruiken, grondig te herzien. eDiscovery technologie zoals ZyLAB die levert, combineert geavanceerde zoektechnologieën, textmining, autoclassificatie, natural language processing (NLP) en machine learning technieken uit de wereld van Artificial Intelligence (AI) om persoonsgegevens te lokaliseren en indien nodig, uit te filteren. Daarnaast helpen innovatieve oplossingen voor classificatie, autoredactie en anonimisering om persoonsgegevens te blacklinen, zodat data veilig en volgens de regels kunnen worden overgedragen.
Uitgebreide tips over wat u nu al kunt doen om uw bedrijf voor te bereiden op de GDPR, worden behandeld in het webinar “Bereid uw bedrijf voor op de General Data Protection Regulation” met Machteld Hiemstra, counsel bij het internationale advocatenkantoor Simmons & Simmons en leest u in het (Engelstalig) eBook, “Technologie in het tijdperk van de GDPR”.
Over de Auteur
Prof. dr. ir. Johannes (Jan) C. Scholtes is Chairman en Chief Strategy Officer van ZyLAB. Scholtes was als ZyLAB’s President en CEO van 1989 tot 2009 betrokken bij het inzetten van eDiscovery software bij onder andere de Oorlogsmisdaden Tribunalen van de VN, de FBI-Enron onderzoeken, het Witte Huis en duizenden andere gebruikers wereldwijd.
Voordat hij in 1989 bij ZyLAB begon, was Scholtes luitenant bij de inlichtingendienst van de Koninklijke Nederlandse Marine. Scholtes is ingenieur (ir.) in de Informatica (TU Delft), doctor in ‘Computational Linguistics’ (Universiteit van Amsterdam) en bekleedt sinds 2008 de buitengewone leerstoel ‘Text Mining’ bij de faculteit Data Sciences and Knowledge Engineering in de Artificial Intelligence groep van de Universiteit van Maastricht.