In wezen is GDPR een voortvloeisel uit een vroegere weliswaar minder vergaande regelgeving. “De AVG draait in feite rond een aantal zaken die vroeger door bedrijven en ondernemers minder goed werden verzorgd. Het maakte helemaal niet uit waar de gegevens die men gebruikte vandaan kwamen en hoe men ermee omsprong. Idem dito of je al dan niet een anti-viruspakket gebruikte en het bedrijfsnetwerk afdoend beveiligde. Niemand wist precies wat er met de data gebeurde,” meent Willems.

Eerste pijler van de nieuwe regelgeving is de transparantie waarvan organisaties blijk geven op het vlak van het gebruik van persoonsgegevens, over de wijze waarop die data worden gebruikt en beheerd. Tweede aspect is de bescherming van die gegevens.

“Dat element wordt door heel veel partijen verkeerd geïnterpreteerd. Heel veel organisaties denken dat het gaat om het versleutelen van gegevens om ze voor onbevoegden ontoegankelijk te maken. Niets is echter minder waar. Er zijn altijd persoonsgegegevens die onversleuteld op het netwerk “rond dwarrelen” omdat een medewerker juist met die gegevens iets aan het doen is of omdat bepaalde koppige collega’s vinden dat het aloude Excel-sheet makkelijker werkt dan bijvoorbeeld de nieuwe CRM-oplossing. En die onversleutelde gegevens zijn niets meer waard ingeval van een malware-infectie. De mensen staren zich blind op de versleuteling van de gegevens of de data-encryptie. Maar soms zijn die al beveiligd. De elementairste database is per definitie al versleuteld net zoals elke personal computer. Standaardversleuteling is dus per definitie al aanwezig, maar extra versleuteling is altijd beter. Hoewel encryptie een basisonderdeel is, gaat de focus er teveel naar toe”, aldus onze gesprekspartner.

Eddy Willems: “Eén van de voornaamste redenen waarom de GDPR of AVG er gekomen is, is om mensen aan te zetten tot nadenken over hun IT-beveiliging. Veel ondernemers maken zich waanzinnig zorgen om het data-aspect, maar het plaatje oogt veel ruimer dan dat. Nu dreigen immers sancties indien ze hun IT-verdediging niet op orde hebben. Veel kleine ondernemingen denken nog steeds te kunnen volstaan met een gratis anti-virusoplossing en firewall. Terwijl het gebruik van dergelijke oplossingen in zakelijke omgevingen wettelijk niet is toegestaan. De nieuwe regelgeving verplicht organisaties een security policy op te stellen. Weinig KMO’s doen dat, terwijl het nochtans niet zo moeilijk is. Een en ander veronderstelt dat wordt nagedacht over de risico’s van datalekkage en hoe die afdoend kunnen worden afgedekt. Wat gebeurt er als ik bepaalde van de data kwijt speel?”.

Versie 1.0

Het privacy-element van de nieuwe regelgeving schuilt precies in de transparantie waarmee met de gegevens wordt omgesprongen. Voor een bedrijf is het relatief makkelijk ervoor te zorgen dat de klant weet wat met zijn of haar gegevens precies gebeurt. Bij de aankoop kan daarover open en transparant worden gecommuniceerd. Bepaalde data zijn nu eenmaal nodig voor de garantieregeling of de dienst na-verkoop. Idem dito wat het bewaren van personeelsgegevens betreft. Ook hier wordt voor een maximale transparantie gepleit.

“Uiteraard is de bedoeling dat die gegevens goed zijn beschermd. Zolang je als werkgever vindt dat het noodzakelijk is over die data te beschikken, mag men deze houden. In de praktijk zal het slechts zelden gebeuren dat een ex-werknemer verzoekt om zijn of haar data te verwijderen. Op dat ogenblik zal de vraag zich stellen of dat technisch kan. De GDPR stelt expliciet dat dat niet moet als het technisch niet kan. Opnieuw is hier transparantie geboden. Er dient duidelijk aan de betrokkene gecommuniceerd waarom zijn of haar data niet kunnen worden verwijderd”, stelt onze gesprekspartner.

Eddy Willems: “GDPR staat in zijn beginfase, er is geen compliancy-model voorhanden. Niemand kan momenteel sluitend zeggen hoe in bepaalde omstandigheden dient gehandeld. Alleen het raamwerk is geschetst. Het laat zich dan ook raden dat GDPR 1.0 op de tijdsas zal worden aangepast. Geen enkele 1.0-versie is immers futureproof. Bepaalde aspecten uit de regelgeving zullen worden aangescherpt, andere misschien afgezwakt. Ook de rechtspraak zal bepalend zijn voor de verdere evolutie van de regelgeving”.

De cookie-wetgeving wordt op 25 mei 2018 in de GDPR-regelgeving ingebed. Omtrent het gebruik van cookies is amper sprake van transparantie. Willems acht het dan erg waarschijnlijk dat in de toekomst de regelgeving terzake zal worden bijgestuurd en verfijnd. Niet uitgesloten is dat in de toekomst GDPR-geledingen worden ingevoerd in functie van de grootte van het bedrijf dat de data beheert of van de datavolumes zelf.

Kentering in houding ten opzichte van privacy

Wekelijks worden we geconfronteerd met nieuwe gevallen van datalekkage. Wellicht zijn er echter niet meer datalekken dan in het verleden, een en ander lijkt erop te wijzen dat de aandacht voor het fenomeen is toegenomen in anticipatie op het in voege treden van de GDPR-regelgeving.

Social media blijven een belangrijke “driver” van de problemen rond de privacy. Mensen hebben blijkbaar moeite met de wijze waarop ze met hun privacy (lees: persoonlijke data, nvdr.) omspringen. Sinds één à twee jaar lijkt hierin toch enige verandering te komen, meent de security evangelist.

“Sommigen beginnen bepaalde zaken op hun Facebook-pagina bewust af te schermen. Dat was enkele jaren terug ondenkbaar”, luidt het.

Risicogroepen: kleinere KMO’s

Grote bedrijven en organisaties hebben zich doorgaans voorbereid op de komst van de nieuwe regelgeving. In kleinere bedrijven liggen de kaarten anders, ook al omdat een en ander voor bijkomende administratieve rompslomp zorgt.

Eddy Willems: “De meest kwetsbare bedrijven zijn zich minst bewust van de implicaties van de GDPR-regelgeving. Het lijdt weinig twijfel dat de wetgever voorbeelden zal stellen. Ingeval van overtreding kan de boete oplopen tot 4% van de omzet wereldwijd met een maximum van 20 miljoen euro. Voor bepaalde bedrijven kan een dergelijke sanctie het doodsvonnis betekenen”.

Toch hoeven kleinere bedrijfsorganisaties de zaken niet te pessimistisch in te schatten. Voor een klein bedrijf is het heus niet zo moeilijk zich naar de AVG-regels te conformeren. Doorgaans gaat het bij hen ook om kleinere databases. In veel gevallen is het al bijna voldoende om een doordachte security policy op te stellen. De Privacy-commissie heeft terzake alvast een handig 13-stappenplan ter beschikking.

Duidelijk is dat thuiswerken en de proliferatie van mobiele devices het risico op inbreuken op de GDPR-regelgeving gevoelig verhogen. Andermaal lijken hier de kleinere bedrijfsentiteiten in het vizier te komen omdat beveiligingstechnisch bij hen de grootste tekortkomingen worden vastgesteld. Bovendien staan data steeds vaker in de cloud, zodat sprake is van een gedeelde verantwoordelijkheid (databeheerder versus cloud service provider). Eddy Willems raadt aan dat bedrijven en organisaties zich beraden over de betrouwbaarheid van hun partners.

“Het lijdt weinig twijfel dat Europese databases, opgeslagen in datacenters buiten Europa, massaal zullen worden gerepatrieerd,” voorspelt hij.

Naast het Europees roaming-akkoord, is de GDPR-regelgeving een tweede belangrijke IT-werf die de Europese Unie tot een goed einde bracht. Nu nog een betere onderlinge afstemming tussen de lidstaten onderling en morgen leven we misschien in een maatschappij waar we met een gerust gemoed onze data kunnen afstaan, luidt het tot slot.