De nieuwe Europese wetgeving rond Information Security

In 2012 werd binnen de Europese Commissie voor het eerst gesproken over de behoefte aan een vernieuwing van de regelgeving inzake bescherming van persoonsgegevens. De Europese Raad, de Europese Commissie en het Europees Parlement hebben samengewerkt aan een nieuwe wetgeving en op 15 december 2015 werd de definitieve tekst aanvaard. Op 4 mei 2016 werd deze gepubliceerd in de EU Official Journal in alle officiële talen. Deze wetgeving, gedoopt met de naam General Data Protection Regulation of kortweg GDPR, was absoluut noodzakelijk gezien het sterk veranderde maatschappelijk en technologisch kader. Deze GDPR zal sowieso een impact hebben op hoe Belgische bedrijven met digitale persoonsgegevens moeten omgaan. Gezien de niet onbelangrijke inbreng hier van IT brengen we graag verduidelijking.

Old nokia 2080 gdpr

Nood aan vernieuwing

De huidige geldende Belgische wetgeving rond de bescherming van digitale persoonsgegevens stamt af van het EU Data Protection Directive 95/46/EC. Deze dateert van 1995. Toen werkten we nog met 56k modems om verbinding te maken met het internet, was de Nokia 2080 één van de topmodellen en werd de DVD aangekondigd. Waar is de tijd...

Om maar te zeggen dat deze wetgeving geen rekening houdt met recente maatschappelijke veranderingen en technologische vernieuwingen zoals cloud computing, globalisatie, sociale netwerken, … m.a.w. totaal door de realiteit is achterhaald.

Het doel van de GDPR

Het doel van de GDPR is om de EU-burgers meer controle te geven over hoe hun gegevens worden gebruikt en om de administratie en compliance te vereenvoudigen voor bedrijven die over gans Europa werken.

Richtlijn vs. reglementering

De huidige geldende Belgische wetgeving stamt af van eerder vermeld directief. Omdat het een directief (richtlijn) is, moest elke EU lidstaat een eigen nationale wetgeving bouwen om te voldoen aan deze richtlijn. Daarbij werden vaak interpretatie-vrijheden genomen.

De nieuwe wetgeving is geen directief, maar een 'regulation'. Dat wil zeggen dat deze meteen in voege is voor alle 28 lidstaten. De nationale wetgeving moet niet worden aangepast en/of opgesteld.

Wie moet aan de GDPR voldoen?

Welke bedrijven moeten voldoen aan deze GDPR? Alle bedrijven die met persoonsgegevens van EU-burgers werken, moeten voldoen. Aangezien elk bedrijf in Europa werkt met EU-burgers als personeelsleden, moet dus elk bedrijf hieraan voldoen.

Wanneer treedt de GDPR in voege?

Op 24 mei 2016 start een overgangsperiode van 2 jaar. Die overgangsperiode laat de bedrijven toe om de nodige aanpassingen te doen om te voldoen aan deze nieuwe wetgeving. Vanaf 25 mei 2018 moeten alle bedrijven conform zijn.

Moraal van dit verhaal? U bent best nu al bezig of start binnenkort zeker met het in kaart brengen van de persoonsgegevens van uw medewerkers, uw klanten, uw leveranciers, ... doorheen alle informatiebronnen waarover uw bedrijf beschikt. Dit is geen 'klein bier'. Hoewel 2018 nog heel veraf lijkt, is snel een doordacht actieplan opstellen hier dus zeker een must. Actie vereist!

Hoe digitale persoonsgegevens beschermen?

Het komt er op neer dat elk bedrijf inspanningen zal moeten leveren om persoonsgegevens die digitaal worden opgeslagen, voldoende te beschermen. Dat kan in theorie op drie verschillende manieren:

  • Anoniem maken
  • Pseudonimizatie
  • Toegangscontrole

Bij het anoniem maken is het de bedoeling dat de opgeslagen gegevens niet toewijsbaar zijn aan een individu. Een eerste idee zou kunnen zijn om slechts die initialen op te slaan. Echter is ‘anoniem maken’ van persoonsgegevens moeilijker dan het lijkt. De combinatie van gegevens mag namelijk niet toewijsbaar zijn aan een individu. Voornaam en familienaam vervangen door de initialen, maar dan het volledige adres mee opslaan, volstaat dus niet. Anomien maken is dus niet evident.

Het uitgangspunt van pseudonimizatie is dat je extra bijkomende informatie nodig hebt om de gegevens toe te kennen aan een bepaald persoon. Deze bijkomende informatie moet dan apart worden opgeslagen (en niet toegankelijk zijn). Opnieuw niet evident om te doen.

Anoniem maken is niet eenvoudig om het correct en goed te doen. Bij pseudonimizatie moet er een deel van de informatie apart worden opgeslagen en niet toegankelijk zijn. Het is dus heel aannemelijk dat vooral de 3e manier - toegangscontrole – zal worden gehanteerd om conform de nieuwe Europese wetgeving te zijn.

Waar de voorgaande twee manieren zich vooral binnen de applicatie afspelen en het heel vaak onmogelijk is om daar wijzigingen in aan te brengen, zal de meest gebruikte manier de toegangscontrole en -audit zijn. Om dit toe te passen op digitale gegevens zal er in de ICT-infrastructuur van het bedrijf wel één en ander moeten worden opgezet. Deze maatregelen moeten er voor zorgen dat de persoonsgegevens niet te grabbel liggen en dat er voldoende spoor is van eventuele wijzigingen.

Meldingsplicht bij incident

Wanneer er zich een incident zou voordoen waar persoonsgegevens mee gemoeid (kunnen) zijn, is men verplicht dit te melden aan de wetgever en in sommige gevallen ook aan de persoon op wiens gegevens dit betrekking heeft.

Boetes kunnen oplopen

Elk bedrijf zal zich moeten conformeren aan deze nieuwe wetgeving en is verplicht dat te kunnen aantonen (met behulp van procedures, documentatie, auditrapporten, …). Wanneer een incident zich voordoet waarbij persoonsgegevens worden gelekt, kunnen er boetes worden opgelegd. Deze boetes kunnen heel erg zwaar zijn. Indien gezondigd wordt tegen artikels 8,9, 23 -> 39 kunnen boetes oplopen tot €10 miljoen of 2% van wereldwijde omzet (steeds het hoogste bedrag). Indien gezondigd wordt tegen de overige artikels kunnen boetes oplopen tot wel €20 miljoen of 4% van de wereldwijde omzet (steeds het hoogste bedrag).

Besluit

De GDPR heeft als doel om de EU-burgers meer controle te geven over hoe hun persoonsgegevens worden gebruikt en om administratie en compliance te vereenvoudigen voor bedrijven die in Europa actief zijn. Een overgangsperiode van 2 jaar start op 24 mei 2016. Tijdens deze periode dient elk bedrijf zich klaar te maken op deze nieuwe wet die vanaf 25 mei 2018 van kracht zal zijn. De digitale persoonsgegevens zullen voldoende moeten afgeschermd worden en elk bedrijf zal moeten kunnen aantonen dat de juiste maatregelen in voege zijn hiervoor. Bij een incident met persoonsgegevens zal u meldingsplicht hebben en kunnen boetes opgelegd worden tot €20 miljoen.

De ICT-infrastructuur en de verschillende IT-systemen zullen hierop moeten aangepast zijn zodat het aantoonbaar is dat de nodige maatregelen in voege zijn om persoonsgegevens voldoende te beschermen. Savaco volgt de evoluties inzake de GDPR nauwgezet op en kan u helpen om u voor te bereiden. Aarzel niet om ons hierover te contacteren.