Hoe zit het met de verwerking van persoonsgegevens en andere data?

Het beheer en de beveiliging van persoonsgegevens van Europese burgers wordt geregeld door de 'General Data Protection Regulation' of kortweg 'de GDPR'. Deze is sinds vrijdag 25 mei 2018 van kracht en houdt in dat elke organisatie moet kunnen aantonen welke persoonsgegevens zij verzamelt en hoe de gegevens worden gebruikt en beveiligd.

Alle bedrijven, overheidsdiensten, organisaties en instellingen die in Europa persoonsgegevens verwerken, gebruiken, registreren of opslaan, moeten zich aan deze richtlijn houden. Het gaat om een reeks richtlijnen om persoonsgegevens te beschermen en de integriteit ervan te handhaven.

Enkele van de GDPR-beginselen zijn:

• Elke organisatie die gegevens verzamelt en/of verwerkt, moet daarvoor toestemming vragen en het doel ervan moet duidelijk worden aangegeven.
• Ook moeten de gegevens veilig worden verwerkt door gebruik te maken van passende technische en organisatorische maatregelen.
• Uw gegevens mogen ook niet voor onbepaalde tijd worden bewaard. In de overeenkomst moet een duidelijke bewaartermijn worden afgesproken. Wanneer deze is verstreken, moeten de gegevens ontoegankelijk worden gemaakt.

Wat is een DPO?

In grote organisaties moet een DPO(Data Protection Officer) worden aangesteld om toe te zien op de GDPR-compliance. Dit moet iemand zijn met een goede juridische kennis op het gebied van gegevensbeschermingswetgeving, maar ook op het gebied van bestuursrecht. Daarnaast moet een DPO ook een goed inzicht hebben in de uitgevoerde verwerkingsactiviteiten, de informatiesystemen en de behoeften van de verwerkingsverantwoordelijke op het vlak van gegevensbescherming en gegevensbeveiliging. In kleinere organisaties is het echter niet altijd mogelijk een specifieke DPO aan te werven, maar moet voor deze taken toch iemand worden aangewezen als verantwoordelijke voor de verwerking (naast zijn of haar kerntaken).

Klik hier als u meer wilt weten over de verantwoordelijkheden van de DPO.

Is de verwerking van persoonsgegevens een inbreuk op de privacy?

Niet noodzakelijk. Volgens de GDPR maakt u, telkens wanneer u als organisatie persoonsgegevens verwerkt, inbreuk op de privacy van personen, tenzij u daar goede redenen of doelstellingen voor hebt.

Als bedrijf moet u immers vaak persoonsgegevens verwerken om taken in verband met uw bedrijfsactiviteiten uit te voeren. Zonder die gegevens is bedrijfsvoering eenvoudigweg niet mogelijk.

De GDPR voorziet in 6 redenen of rechtsgrondslagen om persoonsgegevens te verwerken:

• Toestemming: U vult bijvoorbeeld allerlei persoonsgegevens in om een bestelling te plaatsen bij uw favoriete online winkel of om in een fysieke winkel te profiteren van de voordelen van een klantenkaart. U deelt dan bewust bepaalde gegevens met de betreffende (commerciële) organisatie.
• Wettelijke verplichting: bv. facturering aan klanten, check-in-at-work.
• Noodzaak om een overeenkomst uit te voeren: bijvoorbeeld de gegevens die nodig zijn voor de loonadministratie van je werknemers.
• Vitaal belang van een persoon: bijvoorbeeld uw medisch dossier bij je arts of een zorginstelling.
• Openbaar belang: de stad is bijvoorbeeld bevoegd om het parkeerbeleid op haar grondgebied te organiseren, maar kan geen bewonerskaarten valideren zonder over bepaalde persoonsgegevens te beschikken.
• Gerechtvaardigd belang: b.v. klanten na aankoop via mailings informeren over mogelijk (andere) relevante producten of ontwikkelingen, camera's gebruiken voor de bescherming van eigendommen of personen, enz.

Wat is het belang van de GDPR?

Het belangrijkste doel van de GDPR is mensen weer controle te geven over hun persoonsgegevens. Op die manier wordt elke EU-burger beschermd. Maar de invoering van de GDPR is evenzeer gunstig voor organisaties, ook al moeten zij nog heel wat hindernissen overwinnen of uitdagingen aangaan voordat zij zichzelf GDPR-compliant kunnen noemen. De gestandaardiseerde regelgeving betekent een vereenvoudigde regelgevingsomgeving voor het internationale bedrijfsleven. De GDPR regelt de tranfer van persoonsgegevens naar landen buiten de EU en heeft invloed op het integer zakendoen binnen Europa en daarbuiten.

De GDPR geldt ter bescherming van alle EU-burgers. Dat betekent dus dat organisaties buiten Europa dezelfde richtlijnen moeten volgen bij het verzamelen en verwerken van gegevens van EU-burgers, ook als de wetten in hun eigen land anders zijn.

Het is toch veel beter dat er nu duidelijke regels zijn?

Verwerking van gegevens voordat de GDPR van kracht werd

Vóór 25 mei 2018 bestonden er natuurlijk allerlei regels en wetten op het gebied van privacy. Maar die waren per land opgesteld, waardoor ze niet overal hetzelfde waren. Een bijkomend punt was dat er ondanks de bestaande regels geen duidelijke sancties verbonden waren aan het overtreden ervan. Met de opkomst van big data en andere technologische ontwikkelingen werkte deze versnippering niet langer. De behoefte aan uniformiteit en een gemeenschappelijk rechtskader drong zich op.

Organisaties kregen de tijd om zich aan te passen aan deze nieuwe wetgeving, die al in 2016 in het Europees Parlement werd goedgekeurd. Organisaties die het wagen om de regels na 25 mei 2018 niet na te leven, riskeren aanzienlijke boetes.

Een overtreding van het zogenaamde finaliteitsbeginsel valt in de zwaarste categorie, waarvoor een maximumboete van 20 miljoen euro geldt of, voor ondernemingen, tot 4% van hun totale wereldwijde jaaromzet!

De feiten van vandaag: 1,1 miljard aan GDPR-boetes in 2021

Enkele opmerkelijke cijfermatige feiten met betrekking tot GDPR-boetes:

• De allereerste GDPR-boete in België werd opgelegd aan een burgemeester die persoonsgegevens, verkregen in de uitoefening van zijn functie, had gebruikt voor zijn verkiezingscampagne. De boete bedroeg 2000 euro.
• In België zijn sinds de inwerkingtreding van de GDPR voor 508 000 euro aan boetes uitgedeeld.
• Zelfs de Nederlandse Nationale Politie werd beboet voor ontoereikende gegevensbescherming.
• Volgens cijfers van advocatenkantoor DLA Piper, die verschenen in een Datanews-artikel van januari 2022, werd in 2021 in Europa 1,1 miljard euro aan privacyboetes uitgedeeld. Dat is 7 keer meer dan in 2020!
• De hoogste boete zagen we in Luxemburg, met een spectaculair hoog bedrag van 746 miljoen euro voor Amazon.
  Een record dat ons gemengde gevoelens bezorgt: enerzijds toont het aan dat privacy niet erg hoog op de agenda staat van (sommige) techgiganten. Anderzijds laat het ook zien dat de GDPR doet waarvoor hij in het leven is geroepen.
• DLA Piper constateert ook een groei van 8% in meldingen van datalekken in het afgelopen jaar.

Datalek ≠ Cybercriminaliteit

Een (helaas niet zo recent) artikel van Belgium Cloud zet de meest voorkomende oorzaken van datalekken op een rij. De meeste lekken worden niet veroorzaakt door dubieuze bedrijven die de GDPR niet hoog op de agenda hebben staan of door cybercriminelen die organisaties of particulieren geld willen afpersen.
Nee, het grootste gevaar schuilt bij onze eigen onoplettendheid of onwetendheid!

De meest voorkomende soorten van datalekken:

• Menselijke fouten: we kennen allemaal wel iemand die onbedoeld een bestand met gevoelige informatie naar een onjuist e-mailadres heeft gestuurd. Dit is een duidelijk datalek.
• Hacking, phishing en malware
• Theft carrier: gevoelige informatie opgeslagen op een gestolen USB, laptop of smartphone.
• Systeemstoring
• Oneigenlijk gebruik van toegangsrechten.

Meldplicht datalekken

De data controller van elke organisatie is verplicht alle inbreuken in verband met gegevens te registreren. Deze persoon moet een beoordeling maken van het risico: heeft de inbreuk mogelijk gevolgen voor de rechten en vrijheden van de betrokken personen? Dan is de verantwoordelijke voor de verwerking of de DPO verplicht dit binnen 72 uur te melden aan de gegevensbeschermingsautoriteit.

Om de verschillen in risico's te schetsen, noemen we kort het Log4J-lek dat half december 2021 aan de oppervlakte kwam. Het lek zit in een tool die wordt gebruikt om Java-applicaties te loggen en hackers maakten er al misbruik van. Het lek stelt hen in staat om op afstand code te injecteren.

Israëlische overheidssites werden aangevallen, maar ook het Belgische ministerie van Defensie was het slachtoffer van hackers. Het mailverkeer van het ministerie van Defensie lag een maand plat. Dit soort lekken, waar ook hackersgroepen handig gebruik van kunnen maken, vormen natuurlijk een veel groter risico dan je collega die zijn scherm niet heeft vergrendeld als hij even naar het toilet gaat (en dat hangt dan ook af van zijn functie en het soort organisatie).

Suivo en gevoelige data

Suivo wordt nooit de 'eigenaar' van de gegevens van haar klanten, maar gegevens vormen wel het hart van onze business. Integer omgaan met klantgegevens is voor ons dan ook een prioriteit.

Handig om te weten is dat Suivo:

• een beroep doet op een ethische hackers en een bug bounty platform om cyber veiligheidsrisico's te minimaliseren. De white hat hackers doen voortdurend pentests. Als er onregelmatigheden zijn, zijn wij de eersten die het weten en kan er snel actie worden ondernomen.
• versleutelt gegevens altijd "in transit" of "in rust".
• verzamelt en bewaart alleen gegevens op servers van bedrijven die zelf kunnen aantonen GDPR-conform te zijn.
• stelt een duidelijke overeenkomst op voor de verwerking van persoonsgegevens die gekend, goedgekeurd en ondertekend is door de betrokken partijen. Deze overeenkomst beschrijft zowel technische als organisatorische beveiligingsmaatregelen, alsmede afspraken over vertrouwelijkheid en de categorieën van persoonsgegevens die noodzakelijk zijn voor het functioneren van de gewenste applicaties en modules op het IoT platform.

‍