Weg met de Wbp, hallo GDPR

23 mei

Weg met de Wbp, hallo GDPR

Door Nieuws , Geen reacties

De Meldplicht Datalekken is nog nauwelijks van kracht en de volgende grote verandering staat alweer voor de deur. Uiterlijk begin 2018 wordt Europese privacywetgeving ingevoerd die de Nederlandse wetgeving vervangt. Wat staat ons te wachten? Lees hier over GDPR / AVG

In ons vorige blog hebben we besproken hoe de Wet bescherming persoonsgegevens in elkaar zit. Leuk om te weten voor de komende twee jaar. Daarna is de Wbp van tafel en krijgen we Europese regels: de General Data Protection Regulation (GDPR). Of in goed Nederlands: de Algemene Verordening Gegevensbescherming (AGV).

Het Europees Parlement is op 14 april akkoord gegaan met deze nieuwe richtlijn, die in mei 2018 in alle EU-lidstaten moet zijn ingevoerd. Alle organisaties die persoonsgegevens verwerken, krijgen met deze richtlijn te maken.

In dit blog geven we een bondig overzicht van de verschillen tussen nu en straks, vooral bezien vanuit test- en ontwikkelperspectief.

Centrale regels, lokale handhaving

De GDPR gaat gelden in alle lidstaten van de Europese Unie. Elk land wijst een nationale toezichthouder aan, die toeziet op naleving van de GDPR. In Nederland ligt het voor de hand dat de Autoriteit Persoonsgegevens deze rol op zich gaat nemen. Je ziet nu al dat de AP zich daarop aan het voorbereiden is. Het toezicht is al geïntensiveerd en de Autoriteit is zichtbaarder dan ooit.

Doelbinding

Er moet altijd een duidelijk doel ten grondslag liggen aan de vastlegging van persoonsgegevens. Als je dit doel als organisatie niet kunt uitleggen, mag je de gegevens ook niet vastleggen. Dat geldt zelfs per product of dienst: gegevens die je voor dienst A nodig hebt, mag je niet per se óók voor dienst B vastleggen. Bovendien hebben consumenten het recht om op elk moment hun toestemming voor het verwerken van hun gegevens in te trekken. Als organisatie moet je dit direct en aantoonbaar kunnen uitvoeren.

Data Portability

De consument moet inzicht hebben in de gegevens die elektronisch van hem zijn vastgelegd. Hij moet die gegevens kunnen inzien zónder tussenkomst van de betreffende organisatie. Dat betekent dat organisaties die informatie toegankelijk moeten gaan maken, bijvoorbeeld via een klantenportaal. Ook moeten organisaties op verzoek van de consument zijn persoonsgegevens door kunnen geven aan een andere partij, bijvoorbeeld bij het overstappen naar een andere energieleverancier.

Datalek

Met de Meldplicht Datalekken, een nieuw onderdeel van de Wbp, heeft de Nederlandse wetgever alvast een voorschot genomen op de GDPR. Daarin staat dat een datalek binnen 72 uur moet worden gemeld bij de toezichthouder. Wat we nu een datalek noemen (er is onbedoeld toegang ontstaan tot persoonsgegevens) ziet de GDPR veel breder: een datalek is elke situatie waarbij persoonsgegevens zijn verwerkt zonder dat daaraan het doel ten grondslag lag. Eenvoudig gezegd: als persoonsgegevens zijn gebruikt voor iets anders dan waarvoor ze bedoeld waren. Dit geldt dus ook voor testsituaties!

Data Protection by Design and by Default

Organisaties zijn verplicht om zo min mogelijk persoonsgegevens vast te leggen. Dit moeten ze ook kunnen aantonen. Dat geldt bij het design van bijvoorbeeld nieuwe software, én bij de standaardinrichting van de processen waarbij persoonsgegevens worden opgevraagd. Dit proportionaliteitsprincipe heeft grote impact op testen: de eis dat de gebruikte set aan gegevens aansluit bij het doel dat wordt gediend, betekent feitelijk dat per testsoort moet worden gekeken welke data strikt noodzakelijk is.

Data Protection Officers

Grotere organisaties (niet MKB), worden verplicht een Data Protection Officer aan te stellen. Hij/zij is verantwoordelijk voor het toezien op een juiste naleving van de GDPR door de organisatie.

Gepseudonimiseerde data

In de GDPR wordt het concept ‘gepseudonimiseerde data’ geïntroduceerd als voorkeursoplossing voor het gebruik van persoonsgegevens buiten de productieomgeving. Met gepseudonimiseerde data wordt data bedoeld die zo is bewerkt dat ze niet meer herleidbaar is naar een uniek individu.

Sancties

De sancties gaan fors omhoog. Onder de Wbp kan de AP organisaties een boete opleggen van maximaal 820.000 euro. Onder de GDPR gaat dit bedrag omhoog naar 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt).

Argumenten om je niet voor te bereiden

Moet je je als organisatie voorbereiden op deze wijzigingen? Er zijn argumenten om dat niet te doen. “De pakkans is heel klein”, is er eentje die wij vaak horen. “Onze gegevens zijn goed beveiligd” is een andere. En: “Joh, 2018, dat duurt nog zo lang…”

Maar er zijn meer argumenten die vóór een goede voorbereiding pleiten. De capaciteitsuitbreiding bij de AP waardoor de pakkans groter wordt. De reputatie- en financiële schade als de AP je in het vizier krijgt. Het feit dat deze wetgeving al in werking is getreden, maar alleen nog wacht op invoering. En zo kunnen we nog wel even doorgaan. Waarbij het belangrijkste argument nog altijd de consument is. Klant, cliënten, patiënten. Zij eisen privacy, en terecht.

Lees hier over DataFactory die kan helpen om aan de GDPR / AVG te voldoen

Related Posts

Jonas at See sponsored by EntrD
04 apr

Jonas at Sea

Een half jaar geleden schreven wij dat EntrD sponsor is van Jonas at Sea. Wij leerden Jonas van Polen... Lees meer

29 nov

Ronald Pronk en Sander Monté (Dunavie): Communicatie de sleutel om informatiebeveiliging en AVG continu onder de aandacht te houden

Geplaatst door CorporatieMedia op Tuesday 29 November 2022 Het goed beschermen van persoonsgegevens en borgen van privacy wordt voor corporaties steeds... Lees meer

10 mei

De spelregels rondom persoonsgegevens

Privacy is hot. Zodra er iets misgaat met persoonsgegevens, zitten de media er bovenop. Laatst nog in de gemeente... Lees meer

13 okt

2017 wordt het jaar van de implementatie

Data privacy is duidelijk een hot topic. Dat bleek niet alleen uit de hoge opkomst bij het Data Privacy... Lees meer

01 okt

Pinkroccade Local Government en EntrD samenwerking

Pinkroccade Local Government biedt gemeentes onder de naam iBurgerzaken een applicatie aan waarmee alle burgerzaken gerelateerde acties uitgevoerd kunnen... Lees meer

16 okt

De Datafactory is voortaan nog eenvoudiger te configureren

De configuratie van de Datafactory betekent dat een maskeeralgoritme gekoppeld wordt aan een te maskeren attribuut. In de configuratie... Lees meer

retentietermijn
10 mei

Over de datum – retentietermijn

Eten dat ‘over datum’ is, gebruiken we niet meer en gooien we weg om weer ruimte in de koelkast... Lees meer

25 apr

Snel snel snel! – De invloed van agile op testen

Veel organisaties zijn al overgegaan van Prince2 op meer agile ontwikkelmethodes. Nog veel meer organisaties staan op het punt... Lees meer

10 feb

‘Vieze data’ wassen om te voldoen aan de AVG

Sinds de AVG twee jaar geleden van kracht werd, zijn regels voor het opslaan van persoonsgegevens bij woningcorporaties flink... Lees meer

22 feb

29 procent meer datalek meldingen in 2019

De Autoriteit Persoonsgegevens (AP) kreeg in 2019 bijna een derde meer meldingen binnen van datalekken dan in 2018, schrijft... Lees meer