Weg met de Wbp, hallo GDPR

Weg met de Wbp, hallo GDPR

De Meldplicht Datalekken is nog nauwelijks van kracht en de volgende grote verandering staat alweer voor de deur. Uiterlijk begin 2018 wordt Europese privacywetgeving ingevoerd die de Nederlandse wetgeving vervangt. Wat staat ons te wachten?

In ons vorige blog hebben we besproken hoe de Wet bescherming persoonsgegevens in elkaar zit. Leuk om te weten voor de komende twee jaar. Daarna is de Wbp van tafel en krijgen we Europese regels: de General Data Protection Regulation (GDPR). Of in goed Nederlands: de Algemene Verordening Gegevensbescherming (AGV).

Het Europees Parlement is op 14 april akkoord gegaan met deze nieuwe richtlijn, die in mei 2018 in alle EU-lidstaten moet zijn ingevoerd. Alle organisaties die persoonsgegevens verwerken, krijgen met deze richtlijn te maken.

In dit blog (lees hier de longread) een bondig overzicht van de verschillen tussen nu en straks, vooral bezien vanuit test- en ontwikkelperspectief.

Centrale regels, lokale handhaving

De GDPR gaat gelden in alle lidstaten van de Europese Unie. Elk land wijst een nationale toezichthouder aan, die toeziet op naleving van de GDPR. In Nederland ligt het voor de hand dat de Autoriteit Persoonsgegevens deze rol op zich gaat nemen. Je ziet nu al dat de AP zich daarop aan het voorbereiden is. Het toezicht is al geïntensiveerd en de Autoriteit is zichtbaarder dan ooit.

Doelbinding

Er moet altijd een duidelijk doel ten grondslag liggen aan de vastlegging van persoonsgegevens. Als je dit doel als organisatie niet kunt uitleggen, mag je de gegevens ook niet vastleggen. Dat geldt zelfs per product of dienst: gegevens die je voor dienst A nodig hebt, mag je niet per se óók voor dienst B vastleggen. Bovendien hebben consumenten het recht om op elk moment hun toestemming voor het verwerken van hun gegevens in te trekken. Als organisatie moet je dit direct en aantoonbaar kunnen uitvoeren.

Data Portability

De consument moet inzicht hebben in de gegevens die elektronisch van hem zijn vastgelegd. Hij moet die gegevens kunnen inzien zónder tussenkomst van de betreffende organisatie. Dat betekent dat organisaties die informatie toegankelijk moeten gaan maken, bijvoorbeeld via een klantenportaal. Ook moeten organisaties op verzoek van de consument zijn persoonsgegevens door kunnen geven aan een andere partij, bijvoorbeeld bij het overstappen naar een andere energieleverancier.

Datalek

Met de Meldplicht Datalekken, een nieuw onderdeel van de Wbp, heeft de Nederlandse wetgever alvast een voorschot genomen op de GDPR. Daarin staat dat een datalek binnen 72 uur moet worden gemeld bij de toezichthouder. Wat we nu een datalek noemen (er is onbedoeld toegang ontstaan tot persoonsgegevens) ziet de GDPR veel breder: een datalek is elke situatie waarbij persoonsgegevens zijn verwerkt zonder dat daaraan het doel ten grondslag lag. Eenvoudig gezegd: als persoonsgegevens zijn gebruikt voor iets anders dan waarvoor ze bedoeld waren. Dit geldt dus ook voor testsituaties!

Data Protection by Design and by Default

Organisaties zijn verplicht om zo min mogelijk persoonsgegevens vast te leggen. Dit moeten ze ook kunnen aantonen. Dat geldt bij het design van bijvoorbeeld nieuwe software, én bij de standaardinrichting van de processen waarbij persoonsgegevens worden opgevraagd. Dit proportionaliteitsprincipe heeft grote impact op testen: de eis dat de gebruikte set aan gegevens aansluit bij het doel dat wordt gediend, betekent feitelijk dat per testsoort moet worden gekeken welke data strikt noodzakelijk is.

Data Protection Officers

Grotere organisaties (niet MKB), worden verplicht een Data Protection Officer aan te stellen. Hij/zij is verantwoordelijk voor het toezien op een juiste naleving van de GDPR door de organisatie.

Gepseudonimiseerde data

In de GDPR wordt het concept ‘gepseudonimiseerde data’ geïntroduceerd als voorkeursoplossing voor het gebruik van persoonsgegevens buiten de productieomgeving. Met gepseudonimiseerde data wordt data bedoeld die zo is bewerkt dat ze niet meer herleidbaar is naar een uniek individu.

Sancties

De sancties gaan fors omhoog. Onder de Wbp kan de AP organisaties een boete opleggen van maximaal 820.000 euro. Onder de GDPR gaat dit bedrag omhoog naar 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt).

Argumenten om je niet voor te bereiden

Moet je je als organisatie voorbereiden op deze wijzigingen? Er zijn argumenten om dat niet te doen. “De pakkans is heel klein”, is er eentje die wij vaak horen. “Onze gegevens zijn goed beveiligd” is een andere. En: “Joh, 2018, dat duurt nog zo lang…”

Maar er zijn meer argumenten die vóór een goede voorbereiding pleiten. De capaciteitsuitbreiding bij de AP waardoor de pakkans groter wordt. De reputatie- en financiële schade als de AP je in het vizier krijgt. Het feit dat deze wetgeving al in werking is getreden, maar alleen nog wacht op invoering. En zo kunnen we nog wel even doorgaan. Waarbij het belangrijkste argument nog altijd de consument is. Klant, cliënten, patiënten. Zij eisen privacy, en terecht.