Column


Column Bert Stam

Deze mythes frustreren de voorbereiding op de GDPR

Binnen twee jaar (op 25 mei 2018 ) treedt de General Data Protection Regulation in werking. Elke organisatie die werkt met persoonsgegevens - dat is het absolute merendeel van de organisaties in Nederland - krijgt te maken met deze wetgeving. Daarom is het erg belangrijk dat alle misverstanden waarop bedrijven zich mogelijk baseren nu al uit de wereld worden geholpen.

Bedrijven hebben behoefte aan de juiste informatie over de GDPR om een juiste inschatting te kunnen maken van de impact die deze nieuwe wetgeving heeft op hun bedrijfsvoering

Helaas doen er allerlei geruchten de ronde over de GDPR die ervoor kunnen zorgen dat sommige bedrijven in de problemen komen. Onderstaande misstanden blijken zelfs hardnekkig.

1. Cloud- en securityleveranciers zijn verantwoordelijk voor de data, niet de bedrijven zelf
Niet alleen de bedrijven die data verzamelen, maar elke organisatie die data in handen heeft, moet er zeker van zijn dat deze compliant is met de nieuwe regels. Dat betekent dat elk bedrijf dat data verwerkt onder deze wet valt, of het die data nu opslaat of niet. Voorheen namen veel organisaties aan dat ze de verantwoordelijkheid konden doorschuiven naar hun cloud- en/of securityleveranciers. Maar het tij is aan het keren en zowel deze cloud- en securitypartijen alsook hun klanten zijn steeds beter op de hoogte van de securitymaatregelen die getroffen moeten worden om hun data te beveiligen.

2. Data mogen de grens niet over
Een gerucht dat de kop opstak nadat de GDPR was aangenomen, is dat data die bijvoorbeeld in Nederland of Duitsland zijn opgeslagen de grens niet over mogen. Dit klopt niet. Data mogen zeker naar een ander land verstuurd en daar opgeslagen worden, zolang het juiste proces maar wordt gevolgd. Er zijn altijd restricties waar data naartoe kunnen gaan, hoe ze gebruikt mogen worden en wie er toegang toe heeft. Zolang een bedrijf compliant is met de EU-wetgeving zullen Duitsland en Nederland niet anders worden behandeld dan andere EU-landen. Neem bijvoorbeeld belastinggegevens. Deze mogen best in een ander land worden opgeslagen, zolang de data maar altijd toegankelijk zijn voor de juiste mensen van de Belastingdienst.

3. Machtige landen zoals de VS krijgen toegang tot data in andere landen
Je hoort vaak het verhaal dat machtige overheidsdiensten toegang kunnen eisen tot data die zijn opgeslagen in andere landen. Dit klopt echter niet. Zo eiste de Amerikaanse overheid recentelijk dat Microsoft-data die waren opgeslagen in Ierland vrijgegeven zouden worden gegeven. De Amerikaanse overheid moest in beroep tegen Microsoft. De rechtbank besloot vervolgens dat de wetgeving waarop de Amerikaanse overheid zich baseerde, niet voldoende was. Ondanks dat het een onderwerp is waar het laatste woord nog niet over gezegd is, is duidelijk dat ook overheden (uit machtige landen) niet zomaar boven hun eigen wetten staan.

4. Mijn bedrijf is compliant want we versleutelen alle data
Het is een mooie aanname dat een bedrijf compliant is als het al zijn data versleutelt. Helaas is het gebruik van encryptie alleen niet voldoende. Het moet gezien worden als de minimale standaard. Steeds meer klanten zijn op de hoogte daarvan en stellen vragen welke maatregelen een bedrijf heeft genomen bovenop het versleutelen van gegevens. Daarom zullen bedrijven hier serieus mee aan de slag moeten gaan. Dit houdt in dat ze moeten kijken naar twee-factorauthenticatie en belangrijke managementstrategieën, waardoor de data van hun klanten veilig opgeslagen of eventueel verwijderd kunnen worden.

Het kost tijd om een bedrijf GDPR compliant te maken. Veel bedrijven zullen substantiële updates aan hun security- en storagesystemen moeten uitvoeren in relatief korte tijd. Door mythes in een vroegtijdig stadium te ontmantelen, ontstaat er een beter zicht op wat bedrijven te doen staat.


Lees meer over