De nieuwe privacy-verordening van de Europese Commissie dwingt organisaties tot privacy compliance. Elke organisatie moet aan kunnen tonen welke persoonsgegevens worden verzameld, hoe ze worden gebruikt èn hoe ze zijn beveiligd.
De Europese Commissie werkt er hard aan om deze gegevensbescherming in één enkele wet te regelen, de ‘General Data Protection Regulation’ (GDPR). De huidige EU Data Protection Directive 95/46/EC dekt belangrijke aspecten zoals globalisatie, social networking en cloud computing onvoldoende af. In 2012 werd gestart met een voorstel voor nieuwe wetgeving. Op 15 juni 2015 gaf het Comité van Ministers van de Raad van Europa, het tot nu toe duidelijkste signaal af, voor het bereiken van overeenstemming hierover eind 2015.
He gaat dan niet meer om een richtlijn maar om wetgeving. Deze wetgeving zal, na een transitie-periode van 2 jaar, onmiddellijk van toepassing zijn op de 28 EU-lid staten, zonder dat regeringen hiervoor aanvullende wetgeving voor hoeven te maken.
Wat als u niet voldoet aan privacy regels?
In Amerika zijn eerder dit jaar al boetes van tientallen miljoenen opgelegd aan bedrijven zoals AT&T en Google voor het schenden van privacy regels. De General Data Protection Regulation vanuit Brussel gaat uit van boetes die kunnen oplopen tot wel tien procent van de jaaromzet van bedrijven, organisaties en instellingen die hier niet aan voldoen. Daarnaast is in Nederland de ‘meldplicht datalekken’ aangenomen door de Eerste Kamer. Het schenden hiervan kan nu al leiden tot forse boetes.
Hoe u zich voorbereid op de nieuwe regelgeving
Wees transparant en verantwoordelijk
Neem verantwoording voor het verwerken van gegevens. Monitor en review de toegang tot gegevens en gegevensverwerkende procedures, met als doel om zo weinig mogelijk gegeven te verwerken, te bewaren. Beperk het aantal employees die toegang tot gegevens tot een minimum.
Anticipeer op digitale inbraak
U moet er minimaal melding van maken aan de wetgever en in sommige gevallen aan de eigenaar. (Nieuwe Nederlandse wetgeving: ‘meldplicht datalekken’) Hoe gaat u handelen bij een digitale inbraak? Heeft u procedures? Wie dekt de schade? Bent u zich bewust van de risico’s? Bent u hiervoor verzekerd?
Voldoet toestemming van de eigenaar?
Toestemming kan op verschillende manieren gevraagd worden. Het is echter altijd lastig voor de wetgever om te bepalen of de toestemming aangekondigd, vrijwillig en specifiek verkregen is. Specifiek als het om direct marketing gaat dient u heel helder te zijn waarvoor de gegevens gebruikt gaan worden. Informatie over gegevensbewerking moeten in duidelijk en in heldere taal geformuleerd en goed toegankelijk zijn. Indien u persoonlijke data voor retentie/backup doeleinden, dan is het aan u om aan te toeren waarom u dit doet.
Externe bewerkers (bv in de cloud)
Als u met toepassingen van derden in de cloud werkt dan zullen uw klanten/burgers/ouders eisen dat uw diensten compatibel zijn met die van uw leveranciers. Welke procedures hanteren uw leveranciers? Welke technische voorzieningen hebben zij getroffen om misbruik/digitale inbraak te voorkomen?
Gegevensverwerking over de grens
Het zal belangrijk zijn om u er van te verzekeren dat u een gegronde reden heeft om persoonlijke data over te zetten naar rechtsgebieden die niet erkend worden voor het hebben van adequate regelgeving voor gegevensverwerking.
Bent u of uw leveranciers geaudit conform Service Organization Control reports, SOC 1, 2 of 3? (De opvolger van SAS70). De wetgeving is nog niet helemaal afgerond. Twee jaar lijkt nog ver weg. De tijd vliegt en adequate voorbereidingen kosten de nodige tijd. Bent u al begonnen? Start u een aanbesteding waarin samenwerking met derden op het gebied van gegevensopslag/verwerking gaat plaatsvinden? Dan is dit zeker het moment alvast rekening te gaan houden met de aanstaande wetgeving!