Nieuwe wet gegevensbescherming stelt bedrijven voor problemen
In 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Alle bedrijven die aan gegevensverwerking doen moeten de regels in deze nieuwe wet naleven.
Deze AVG treedt volgend jaar in werking. Al in 2016 werd nieuwe Europese wetgeving gepubliceerd rondom gegevensbescherming waar alle Europese organisaties in 2018 aan moeten voldoen. Bedrijven schrikken nu wakker omdat ze daar volgend jaar aan moeten voldoen, maar ze niet goed weten hoe. De eisen liggen in die wet vast, maar hoe je precies het beste aan die wet kunt voldoen niet. Op Europees niveau wordt nu een technische commissie opgericht die normen en richtlijnen gaat ontwikkelen om aan de wet te voldoen. Bijvoorbeeld voor het uitwisselen van gegevens, want ook dat staat in die wet. Jolien van Zetten, standaardisatieconsulent van het NEN licht een en ander toe.
Van Zetten: "De AVG vervangt de bestaande Europese Privacyrichtlijn uit 1995. Een grote verandering is dat het gaat om een verordening in plaats een van een richtlijn. Een verordening is in alle lidstaten volledig en rechtstreeks van toepassing. Daarnaast zitten er grote inhoudelijke wijzigingen in ten opzichte van de oude wet. Officieel geldt de wet voor ‘bedrijven die gegevens verwerken’, en dat zijn heel veel bedrijven. Zelfs de winkel die de klanten om hun postcode vraagt verwerkt gegevens."
Wat zijn de bijzondere eisen aan bedrijven?
"Een van de zaken die aan de orde komen en voor organisaties een grote impact heeft wordt ‘data portabiliteit’ genoemd," zo vervolgt Van Zetten. "Dit is het vergroten van de controle van betrokkenen op hun persoonsgegevens. Een betrokkene kan zelf bepalen welke gegevens hij deelt en met wie. Burgers krijgen daarmee niet alleen het recht om aan bedrijven waaraan zij hun gegevens hebben gegeven te vragen welke gegevens dat precies zijn, maar die burgers mogen ook aan zo’n bedrijf vragen, zo in de sfeer van: Ik heb jou al heel veel gegevens verstrekt, en nu heb ik voor een ander bedrijf dezelfde gegevens nodig, ik heb geen zin om alles opnieuw in te voeren, dus lever jij die gegevens rechtstreeks aan het andere bedrijf. Je hebt dus als burger het recht om de data die bij het ene bedrijf vastligt, te laten transporteren naar een ander bedrijf dat ook die gegevens nodig heeft."
Van Zetten: "De AVG stelt dat dit alles moet gebeuren in een ‘gestructureerde, algemeen gebruikte, leesbare en interoperabele vorm’. Welke vorm dat dan precies is ligt niet vast, de wetgever laat het aan de markt over dat te bepalen. Dat zijn onderwerpen waarvan wij zeggen, spreek dat gezamenlijk af, want dan wordt het vanzelf uitwisselbaar. Nog een grote wijziging is dat de oude richtlijn van toepassing was op gegevens die in de EU werden verwerkt. De nieuwe verordening is van toepassing op de gegevens van personen die in de EU gevestigd zijn, ook als die gegevens buiten de EU worden verwerkt."
Volstaan beveiligingsnormen als ISO 27000 of ISO 7510?
"Het volgen van beveiligingsnormen als ISO 27000 is niet voldoende om aan de AVG te voldoen," stelt Van Zetten. De AVG stelt eisen aan organisaties die gevoelige informatie verwerken, die moeten bijvoorbeeld een opgeleide Data Protection Officer in dienst hebben. Dat is een voorbeeld van een eis die niet in ISO 27000 voor komt. Aan 27000 voldoen helpt je wel, maar daarmee ben je er nog niet. En datzelfde geldt voor ISO 7510, informatiebeveiliging in de zorg, als je daaraan voldoet ben je best wel ver, maar je voldoet nog niet aan de GDPR."
Wat doet de Nederlandse autoriteit persoonsgegevens?
Van Zetten: "De autoriteit persoonsgegevens is al ver met de implementatie hiervan, maar die heeft ook nog niet alles precies uitgedacht. Die kan ook nog niet alle vragen beantwoorden. Reden te meer om een gezamenlijke aanpak na te streven, in plaats van als op zichzelf staand bedrijf het te gaan verzinnen. Verder wordt er op Europees niveau door de Europese commissie DG Justice samengewerkt met de data protection authorities zoals onze autoriteit persoonsgegevens, en wordt er nagedacht over certificatie op basis van die GDPR. Het is dus mogelijk dat er in de toekomst een Europees systeem komt om je te certificeren en als je het certificaat haalt, dan voldoe je. Hoe dit er echter precies uit gaat zien en wie daarop toezicht gaat houden is op dit moment nog niet bekend. Voorlopig helpt dat je dus nog niet om te voldoen aan de wet."
Technische commissie voor cyber security en data protection
"Op Europees niveau is er binnen CEN en CENELEC besloten een technische commissie op te richten voor cyber security en data protection", aldus Van Zetten. Die gaat als het goed is, uiteindelijk via normen invulling geven aan de GDPR. Die komt dan met richtlijnen hoe je als bedrijf aan de GDPR kunt voldoen. Die technische commissie heeft binnenkort een eerste workshop om na te gaan denken over een werkprogramma en in november gaan ze echt van start. Wij zien het als onze taak als NEN om Nederlandse bedrijven en organisaties daarvan op de hoogte te stellen, en ze daarin mee te laten praten. Weet dus dat er al partijen zijn die nadenken over hoe je aan die wet kunt voldoen, en sluit je er bij aan, in plaats van zelf het wiel uit te vinden. De Nederlandse input aan de nieuwe technische commissie (TC) wordt verzorgd door de normcommissie ‘Informatiebeveiliging, Cyber Security en Privacy’. In deze normcommissie zijn alle partijen vertegenwoordigd die belang hebben bij standaarden voor dit werkgebied. Voor dat op Europees niveau meedenken kan die normcommissie binnen NEN flink worden uitgebreid. Eind november gaan we daarvoor informatiebijeenkomsten organiseren om partijen te informeren wat die Europese TC precies gaat doen en hoe ze daarbij betrokken kunnen raken."
