Interview: naleven van de GDPR vraagt meer dan alleen IT-oplossingen.

Naleven van de GDPR vraagt meer dan alleen IT-oplossingen

Ondanks de naderende deadline zijn veel organisaties nog niet klaar voor het naleven van de GDPR, stelt Mathijs Wijbenga, directeur van IT-distributeur Contec. “Dat komt doordat naleving niet alleen vraagt om technische maatregelen, maar ook, en vooral, om organisatorische veranderingen. Veel IT-leveranciers roepen dat hun producten zorgen voor het naleven van de regels, maar niemand heeft alles in huis om dat te garanderen. Het gaat namelijk juist om bewustwording, beleid en gedragsverandering binnen organisaties. Dat is bij veel bedrijven nog een blinde vlek en wij willen onze partners en hun klanten ook daarbij van dienst zijn.”

 

Vanaf 25 mei 2018 moeten bedrijven en overheidsinstellingen voldoen aan de strengere en nieuwe regels van de Algemene verordening gegevensbescherming (AVG), de Nederlandse variant van de Europese General Data Protection Regulation (GDPR). Vanaf die datum moeten organisaties aantonen dat zij voldoen aan de regels voor de bescherming van de privacy van iedereen van wie men gegevens verwerkt. Wie dat niet kan of doet, hangt een boete van 20 miljoen euro, of 4% van de totale omzet, boven het hoofd.

 

Voor het naleven van de GDPR is het belangrijk te weten dat alle vormen van gegevensverwerking verboden zijn, tenzij de burger of klant daar uitdrukkelijk toestemming voor geeft. Er zijn een paar uitzonderingen, bijvoorbeeld als er sprake is van algemeen belang (zoals gegevens die verwerkt worden door de Kinderbescherming) of wettelijke verplichting (werkgevers moeten kopie van het ID van hun werknemers hebben). De wet interpreteert de term ‘gegevensverwerking’ in de breedste zin en de bescherming dient daardoor gewaarborgd te zijn bij het verzamelen, uitwisselen, opslaan, analyseren en archiveren van alle gegevens die herleidbaar zijn tot een persoon. Omdat het vaak IT-systemen en -toepassingen zijn die gegevens verwerken, denkt men al snel dat het naleven van de GDPR ook louter met IT-middelen te realiseren is. “IT is echter maar een deel van de puzzel,” zegt Wijbenga. “De GDPR bestaat uit 99 artikelen en 173 toelichtingen en een groot deel daarvan gaat niet over techniek, maar over beleid en gedrag. We zijn daarom zeer verheugd met de inzet van onze stagiair Bram Nijenhuis van de opleiding Business IT & Management – IT Service Management. Hij is voor ons in de materie gedoken en is inmiddels een ware expert op het gebied van de GDPR. Hij helpt ons bij het implementeren van de nodige maatregelen om de wet na te leven, maar dankzij zijn onderzoek kunnen we ook onze partners en hun klanten van advies dienen over het naleven van de GDPR.”

 

Waarom verscherpt de EU de privacywetgeving?

 

“De huidige privacywetgeving werd rond 1995 opgesteld,” weet Wijbenga. “Destijds had slechts een klein deel van de bevolking een computer. Nu is bijna iedereen continu verbonden met internet, vaak met meerdere apparaten per persoon. Daardoor volstond de oude wetgeving niet meer.”

 

Mensen wisselen doorlopend persoonsgegevens uit met elkaar, met apps en met bedrijven. Hierdoor ontstaan er een aantal problemen rondom privacy, aldus Nijenhuis. “Ten eerste maken mensen zich zorgen over het grote aantal datalekken dat de afgelopen jaren plaatsvond. Een goed voorbeeld daarvan is het datalek bij het Amerikaanse kredietbureau Equifax, waar hackers toegang kregen tot financiële en persoonsgegevens van bijna 150 miljoen Amerikanen. Dat is ongeveer de helft van de hele bevolking. Dat is erg zorgwekkend, vooral omdat het incident niet op zichzelf stond. In Nederland geldt sinds 1 januari 2016 de meldplicht datalekken die stelt dat organisaties datalekken direct moeten melden bij de Autoriteit Persoonsgegevens. Deze maakte onlangs de cijfers voor het derde kwartaal van 2017 bekend. In die periode werden er, net als in de voorgaande kwartalen, ruim 2.500 datalekken gemeld. Als die trend doorzet, gaat het om meer dan 10.000 datalekken per jaar. De zorgen die mensen zich hierover maken zijn dus meer dan terecht,” voegt Wijbenga daaraan toe. “Hoe goed de meldplicht ook is, een melding betekent altijd dat het voor de bescherming van de persoonsgegevens te laat is.”

 

Wat door de nieuwe wet ook aangepakt wordt, is ‘profileren’. Bram Nijenhuis: “Je zoekt bijvoorbeeld online naar een bepaald product en vervolgens zie je overal op internet advertenties verschijnen voor dat product. Dat is een gevolg van profilering. Veel bedrijven vergaren deze gegevens door iets gratis aan te bieden, zoals een downloadbaar bestand of een mooie prijs. Men neemt het profileren voor lief, omdat men dan gebruik kunnen maken van die ‘gratis’ app én ook nog eens relevante advertenties krijgen. Maar ‘gratis’ is in deze misleidend, want je betaalt met je gegevens.”

 

Dat is toch niet zo erg? Je krijgt er tenslotte ook iets voor terug. Wijbenga: “Wat mensen veelal niet door hebben, is dat de profilering die op de achtergrond uitgevoerd wordt, kan resulteren in een digitaal profiel van het online gedrag van een persoon. Als deze informatie toegankelijk wordt voor hackers, is de ellende groot.”

 

Voor het naleven van de GDPR moeten organisaties de interne processen en activiteiten, en externe zoals marketing volledig omgooien, verwacht Nijenhuis. “De manier waarop men dat nu doet, werkt niet meer. De ePrivacy verordening, ook wel de EU Cookiewet genoemd, is nu nog een wetsvoorstel. Deze wordt naar verwachting goedgekeurd en aangenomen vóór 25 mei. Deze verordening geeft meer specifieke invulling aan het naleven van de GDPR, voor elektronische communicatiegegevens die gezien worden als persoonsgegevens. Internetgebruikers leggen dan in hun browser vast of zij privacygevoelige tracking-cookies accepteren of weigeren.”

 

Een andere reden voor de GDPR is dat internet niets vergeet. Dat wordt een steeds groter probleem, zeker nu de generaties die zijn opgegroeid met internet de arbeidsmarkt betreden. “Stel dat je in je jeugd iets ondeugends of opruiends op internet hebt geplaatst, dan kan dat zelfs vele jaren later je kansen op de arbeidsmarkt schaden,” zegt Wijbenga. “Maar ook negatieve nieuwsberichten, bijvoorbeeld over een faillissement, blijven je achtervolgen lang nadat de situatie verjaard of opgelost is. Op zijn minst moet je jezelf steeds verantwoorden of verdedigen. De GDPR bepaalt daarom dat mensen het recht hebben om vergeten te worden. Dit betekent dat internetbedrijven, met name zoekmachines, verplicht zijn om op verzoek alle informatie over een persoon te verwijderen.”

 

Bovenstaande ontwikkelingen droegen eraan bij dat de EU striktere regels wilde opstellen voor het beschermen van persoonsgegevens binnen alle vormen van gegevensverwerking. Voor het naleven van de GDPR moeten mensen nadrukkelijk toestemming geven voor gegevensverwerking, tenzij het bijvoorbeeld gaat om algemeen belang of wettelijke verplichting. “Dat kan alleen als de organisatie duidelijk vertelt welke data men verzamelt, met welk doel men dat doet en hoe dit beveiligd is,” aldus Wijbenga. “Men moet ook duidelijk maken wat men met die gegevens doet. Vervolgens moet de burger of klant ondubbelzinnig akkoord geven.”

 

Nijenhuis: “Vanaf de 25e mei moet je dus niet alleen anders met data omgaan die je binnenkrijgt, maar ook met de data die je al hebt. Het is dus niet zo dat je een bestand met e-mailadressen dat je al jaren gebruikt om nieuwsbrieven te versturen, ongestoord kunt blijven gebruiken. Ook daarvan moet aantoonbaar zijn dat, indien geen van de uitzonderingen van toepassing zijn, de ontvanger specifiek toestemming heeft gegeven voor het ontvangen van die nieuwsbrief.”

 

In de praktijk zal het erop neerkomen dat bedrijven moeten aantonen dat zij ‘redelijke moeite’ hebben gedaan om die toestemming alsnog of opnieuw te krijgen. Maar wat is ‘redelijke moeite’? Nijenhuis: “De Nederlandse Uitvoeringswet AVG moet daar duidelijkheid over geven. De GDPR geeft de lidstaten namelijk de mogelijkheid om nationaal af te wijken van de regels. In Nederland geeft de Uitvoeringswet AVG hier de invulling aan. Dit voorstel moet echter nog goedgekeurd worden door de Tweede en Eerste Kamer. Dat kan nog leiden tot wijzigingen in de AVG waar Nederlandse bedrijven ook na 25 mei 2018 mee te maken krijgen. Het is daardoor mogelijk dat men sommige getroffen maatregelen later weer moet herzien of aanpassen. Ook gaat jurisprudentie een rol spelen bij de bepaling van wat ‘redelijke moeite’ is.”

 

Hoe helpt Contec bij het naleven van de GDPR?

 

“Gegevens- en systeembeveiliging zijn belangrijke aandachtspunten van de GDPR,” zegt Wijbenga. “Daarbij gaat het om bescherming tegen zowel inbraak als uitbraak. Want je kunt wel een sterke muur om een netwerk bouwen, maar dat helpt niet als medewerkers moedwillig of per ongeluk met gegevens naar buiten lopen. Contec biedt een aantal oplossingen die helpen bij het naleven van enkele artikelen van de GDPR, maar we pretenderen niet dat we bedrijven helpen bij het naleven van de volledige GDPR. Veel leveranciers lijken die indruk wel te wekken, bijvoorbeeld door het publiceren ‘GDPR Checklists’. Wat ze bedoelen is dat hun producten helpen bij het naleven van bepaalde artikelen. Er is geen onafhankelijke checklist voor het voldoen aan alle 99 artikelen en 173 toelichtingen van de wet.”

 

Nijenhuis: “De Autoriteit Persoonsgegevens heeft een 10-stappenplan waarmee organisaties zich kunnen voorbereiden op de GDPR. Dat is heel praktisch en als bedrijven deze uitvoeren zijn ze zeker goed bezig. Maar een veel voorkomende blinde vlek is de documentatie van de activiteiten. Bedrijven moeten de huidige gegevens en de gegevensverwerkingen daarvan in kaart brengen. Hieronder valt bijvoorbeeld het vastleggen van welke persoonsgegevens men heeft, waar ze vandaan komen, hoe ze verwerkt worden en met wie men ze deelt en waarom. Daarnaast is het belangrijk te evalueren hoe men toestemming vraagt, krijgt en registreert. Uit deze analyses blijkt welke risico’s bedrijven lopen bij de naleving van de GDPR, en welke maatregelen men daartegen kan nemen. Het aanleggen en bijhouden van een register van verwerkingsactiviteiten is erg belangrijk. GDPR-compliance valt en staat namelijk met de documentatie.

 

“De Autoriteit Persoonsgegevens vereist ook dat de hele organisatie tijdig bewust wordt van de uitgangspunten van de GDPR, zodat men daar in alle processen en gedrag rekening mee gaat houden. Medewerkers moeten getraind worden zodat ze weten waarom en hoe beleid en processen veranderen.

 

“Als bedrijven vestigingen of activiteiten hebben in meerdere landen, dient eerst bepaalt te worden welk land de leidende toezichthouder is. Zoals gezegd kunnen de lidstaten de GDPR aanpassen, bijvoorbeeld wat de minimumleeftijd is om toestemming te geven voor gegevensverwerking. Volgens de GDPR is dat 16 jaar, maar een land kan dat verlagen of verhogen. Zo kent ieder land tientallen uitzonderingen. De leidende toezichthouder dient om advies gevraagd te worden of een ‘verantwoordelijke’ dient te voldoen aan ‘slechts’ de eisen van de betreffende leidende uitvoeringswet, of dat voor de situatie ook aanvullende maatregelen zijn vereist.”

 

IT-oplossingen voor het naleven van de GDPR

 

Een van de zaken waar Contec bij kan helpen is de beveiliging van de apparatuur waarmee men gegevens verwerkt. Wijbenga: “Al heb je maar een lijst met contacten in Outlook of in Salesforce, dan zijn deze gegevens in feite al onderhavig aan de GDPR. Het is echter niet praktisch om iedereen in je contactenlijst toestemming te vragen om contact te houden. Hoe zou je dat überhaupt moeten doen, als je de gegevens die je hebt niet zonder toestemming mag gebruiken? Daarom is het belangrijk dat je aan kunt tonen dat de apparaten waarmee je deze gegevens verwerkt goed beveiligd zijn. Webroot maakt dat mogelijk met een lichte en snelle applicatie voor endpointbeveiliging. Deze houdt niet alleen virussen buiten de deur, maar ook hackers en andere onbevoegden. Webroot bekrachtigt bovendien de naleving van de GDPR door te voorkomen dat gebruikers toegang hebben tot ongewenste en onbetrouwbare websites.

 

“Met Mojo Networks beveiligen we draadloze netwerken en regelen we wie er toegang heeft tot welk deel van het draadloze netwerk. Men kan ook bedrijfs- en gasten verkeer scheiden door gasten een afzonderlijk draadloos netwerk te bieden. Mojo beveiligt de gegevens zowel in transit als in rust met dataversleuteling, wat de privacy van gebruikers waarborgt. De firewalls van Hillstone beveiligen de gegevensstromen en zijn daarmee eigenlijk het eerste vinkje op de checklist voor naleving van de GDPR. Daarnaast regelen de firewalls wie er toegang krijgt tot welke gegevens en wat ermee gebeurt. Dus ook als gegevens van binnen naar buiten stromen, zien de firewalls van Hillstone dat. De firewalls waarschuwen bovendien tijdig als er vreemde zaken plaatsvinden in het netwerkverkeer.

 

“Voor de uitwisseling van gegevens is FileCap de juiste oplossing. Veel bedrijven versturen bestanden, offertes of facturen via e-mail. Voor het naleven van de GDPR is het belangrijk dat je documenten met gevoelige of vertrouwelijke gegevens niet verstuurt als een openbare bijlage bij een e-mail. Deze gegevens mogen niet toegankelijk zijn voor onbevoegden. Met FileCap versleutel je bestanden die je uitwisselt en ben je verplicht om een wachtwoord op deze bestanden te zetten. Zonder de juiste sleutel krijgt niemand toegang tot de gegevens. De bestanden worden bovendien niet opgeslagen door FileCap, maar op je eigen, beveiligde, server. Daarnaast kun je ook instellen hoe lang de gegevens op deze server bewaard worden. Met FileCap kun je dus aantonen dat de gegevens veilig en volgens de richtlijnen van de GDPR verwerkt worden.

 

“Voor onze partners is het belangrijk te weten dat het naleven van de GDPR ook gevolgen heeft voor serviceproviders. Veel bedrijven besteden gegevensverwerking uit, bijvoorbeeld de salarisadministratie of het IT-beheer. De serviceprovider moet dan de richtlijnen van de organisatie volgen over wat ze met persoonsgegevens mogen doen.

 

“Wij kunnen dus adviseren over FileCap, Hillstone, Webroot en Mojo. Maar ook over hoe je met bestanden omgaat en hoe je bewustwording creëert bij medewerkers en partners over hoe zij met bestanden om moeten gaan. Met FileCap kun je een artikel van de GDPR afvinken en Hillstone, Webroot en Mojo kunnen ook een vinkje opleveren. Zo moet je de hele lijst van 99 artikelen en 173 bepalingen af en dat moet nog eens opnieuw wanneer de Uitvoeringswet AVG in Nederland in werking treedt.”

 

Al deze oplossingen helpen bij het naleven van de GDPR, maar dat is niet voldoende, benadrukt Nijenhuis. “Bedrijven zijn GDPR-compliant door beleid vorm te geven op proces-, werknemers- en bestuursniveau. Dat is geen kwestie van producten of IT alleen. Toch staren nog te veel organisaties zich blind op wat er moet gebeuren en zij vergeten daardoor vast te leggen waarom en hoe ze de dingen tot nog toe deden. Terwijl deze rapportage essentieel is voor de verantwoording met betrekking tot het naleven van de GDPR. De Autoriteit Persoonsgegevens kan namelijk ook zonder aanleiding controles uitvoeren. Dan moet je de zaakjes aantoonbaar goed op orde hebben.”

 

Dit artikel verscheen als eerste op Focus on IT