25 Mei a.s. treedt de General Data Protection Regulation (GDPR) in werking. Een dataprotectie-verordening, geldend voor de hele EU, die de individuele rechten van burgers beschermt en tegelijk een vrij en veilig dataverkeer garandeert. Cosimo Monda, hoofd van het European Centre on Data Privacy and Cyber Security, legt uit wat de consequenties zijn. ‘Organisaties kunnen er hun voordeel mee doen.’
Het is goed dat de GDPR er komt; de verordening moest er komen, legt Cosimo Monda uit. De huidige privacywetgeving van EU-lidstaten is gebaseerd op de Data Protection Directive, een Europese richtlijn uit 1995 die inmiddels sterk verouderd is. Toen had men nog geen idee van technologische vernieuwingen als big data, google analytics en cloud computing.
Dataprotectie
Monda: “Er is een situatie ontstaan waarin apparaten zelf informatie delen zonder tussenkomst van personen. Via de verordening wil men de privacy hier beschermen en tegelijk bijdragen tot de creatie van een digitale markt.”
Daarnaast maakt de GDPR een eind aan de fragmentatie op nationaal niveau. De Directive uit 1995 was gericht aan de overheden van de lidstaten, die de privacyrichtlijnen vervolgens op eigen wijze mochten implementeren. Het gevolg laat zich raden: 28 verschillende wetsystemen. “De verordening is een harmonisatie van deze regelingen en minimaliseert de nationale manoeuvres. Er geldt na implementatie één enkele wet voor de burgers van alle lidstaten.”
Toestemmingseisen
De GDPR, die dus de Nederlandse Wet Bescherming Persoonsgegevens vervangt, bevat diverse wijzigingen en vernieuwingen. Voor organisaties komt er met name een grotere nadruk op verantwoordelijkheid: zij moeten regelmatig ‘demonstreren’ dat zij de vordering naleven.
Dit brengt een reeks acties met zich mee, zoals de verplichting periodiek de (strengere) privacy-risico’s te onderzoeken (assessment). Bewaartermijnen van privégegevens moeten duidelijk vermeld worden. Privacy by design is verplicht. Dit houdt in dat in de ontwikkeling van producten en diensten al aandacht moet zijn voor privacybescherming. Privacy by default: standaardinstellingen zijn altijd zo privacyvriendelijk mogelijk. Datalekken (data breaches) moeten binnen 72 uur gemeld worden.
Bij de rechten van personen (datasubjecten) ligt de nadruk op het actief delen van informatie. Dat wil zeggen dat het datasubject expliciet akkoord moet gaan voordat privégegevens verwerkt mogen worden. Toestemmingseisen worden hoger. Er komt ‘het recht om te worden vergeten’. Google is bijvoorbeeld verplicht je naam te verwijderen als je hierom vraagt.
Nieuw zijn ook het recht op een eerlijke processing van informatie, het recht dit te beperken of tegen te houden en het recht op verplaatsbaarheid. Het laatste houdt in dat elk datasubject zijn persoonlijke gegevens kan opvragen.
Goed bestuur
Bij al deze verplichtingen vraag je je af of het vrije verkeer van data niet in het nauw komt. Maar Monda ziet hiervoor weinig belemmeringen. De vrije uitwisseling van data voor wetenschappelijke doeleinden bijvoorbeeld blijft ook in de GDPR een uitzonderingsbepaling. Hij ziet in de nieuwe wet ook niet echt gebreken.
“We moeten beseffen dat de GDPR een harmonisering is van de nationale regelingen. Er zijn wijzigingen en nieuwe elementen, maar de algemene principes zijn hetzelfde. Uiteindelijk verandert er niet zoveel.”
Wel merkt Monda beroepshalve dat organisaties en bedrijven zich zorgen maken over de lasten van de nieuwe wet. Maar databescherming kan volgens hem ook een voorbeeld zijn van goed bestuur. Zo biedt de implementatie de gelegenheid om het bedrijf te verbeteren. Denk aan een opschoning en efficiënter gebruik van data.
“Je kunt zelfs een competitief voordeel hebben en jezelf onderscheiden door heel nadrukkelijk te promoten dat je een transparant bedrijf bent dat de GDPR netjes naleeft. Dit geldt ook voor organisaties in de publieke sector. Door te laten zien dat je data op een eerlijke manier verzamelt, wek je meer vertrouwen bij burgers.”
One-stop-shop-principe
Zonder meer een stap vooruit is volgens Monda het one-stop-shop-principe. Er is één Europese wet en organisaties en bedrijven hebben slechts met één nationale Data Protection Authority (DPA) te maken. Vroeger moest een groot bedrijf langs meerdere nationale DPA’s, nu kiest het de DPA waar de business is gevestigd.
“Voorbij is de tijd dat bedrijven als Google en Amazone zich kunnen vestigen in een land met een niet al te actieve DPA, zoals Ierland. Ook buiten Europa heeft dit geen zin, want de wet geldt voor de opslag en verwerking van persoonlijke gegevens van EU-burgers, ook als dit buiten de EU gebeurt.”
One-stop-shop-principe
Zonder meer een stap vooruit is volgens Monda het one-stop-shop-principe. Er is één Europese wet en organisaties en bedrijven hebben slechts met één nationale Data Protection Authority (DPA) te maken. Vroeger moest een groot bedrijf langs meerdere nationale DPA’s, nu kiest het de DPA waar de business is gevestigd.
“Voorbij is de tijd dat bedrijven als Google en Amazone zich kunnen vestigen in een land met een niet al te actieve DPA, zoals Ierland. Ook buiten Europa heeft dit geen zin, want de wet geldt voor de opslag en verwerking van persoonlijke gegevens van EU-burgers, ook als dit buiten de EU gebeurt.”
Harmonisering
Monda verwacht dat er weinig ruimte is voor verschillende implementaties. Om de uitvoering van de GDPR te begeleiden is een overkoepelende raad in het leven geroepen: de European Data Protection Board. “Deze raad geeft doorlopend richtlijnen voor de harmonisering van de interpretaties.” Al met al is hij positief over de GDPR.
“Het is een goed startpunt: één enkele wet voor heel Europa. De boodschap van mijn kant: er zijn geen grote veranderingen en de GDPR is niet moeilijk te implementeren. Organisaties hoeven niet ongerust te zijn en kunnen er zelfs hun voordeel mee doen. Ik adviseer dan ook om niet te wachten en snel met de implementatie te beginnen.”
Bron: Maastricht University