GDPR. de ultieme gids naar compliance

Transcriptie

1 Wat verandert er na 25 mei 2018? Het in werking treden van de GDPR bezorgt heel wat bedrijven kopzorgen en de klok tikt. We helpen je op weg naar compliance met deze uitgebreide gids. Door Redactie TechPulse GDPR de ultieme gids naar compliance

2 Belgische bedrijven minst goed voorbereid op GDPR, Europese marketeers onvoldoende voorbereid op GDPR, 82 procent bedrijven kan niet om met IT-kwetsbaarheden ondanks GDPR Als we de berichtgeving van de afgelopen maanden mogen geloven, hebben de meeste bedrijven nog een flinke kluif aan de General Data Protection Regulation die vanaf 25 mei 2018 in heel Europa van kracht gaat. Het is gelukkig nog niet te laat. Met dit e-book brengen we je in één klap op de hoogte van de impact die de GDPR zal hebben op zowel bedrijven als de consument, en lichten we toe welke stappen je moet ondernemen om in overeenstemming te zijn met de wet. We onderzoeken de gevolgen wanneer je de wet met de voeten treedt en leggen uit waar de nood voor de GDPR precies vandaan kwam. Het e-book is opgedeeld in vier hoofdstukken. Elk hoofdstuk staat op zichzelf en kan in willekeurige volgorde worden gelezen. De GDPR-wetgeving uitgelegd in vier vragen Wij spitten de wetgeving voor je uit en presenteren de belangrijkste punten in vier vragen. Zo weet je of je een Data Protection Officer nodig hebt Moet ook jouw bedrijf een Data Protection Offcier aanstellen? Dit zijn de criteria volgens de GDPR. Checklist: maak je bedrijf compliant in 13 stappen Hoe begin je aan de (lange) weg naar GDPR-compliancy? Volgens de Privacycommissie kan je al starten met deze dertien stappen. GDPR en de publieke cloud: hoe los je dat op? Is het in 2018 nog wel koosjer om gevoelige gegevens aan een publieke cloudprovider toe te vertrouwen?

3 De GDPR-wetgeving uitgelegd in vier vragen De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels om de gegevens van Europese burgers beter te beschermen. De wetgeving werd op het einde van 2015 goedgekeurd, en bestaat uit twee delen: de Regulation, die van toepassing is op de bedrijfswereld, en de Directive, voor overheidsdiensten zoals politie en justitie. Beiden treden ze in mei 2018 officieel in werking. Waarom werd de wetgeving veranderd? De GDPR is een Europese verordening die de Europese richtlijn uit 1995 vervangt. Die richtlijn werd door elke lidstaat op een eigen manier geïnterpreteerd, waardoor de huidige privacywetgeving in elk land licht verschilt van zijn buurlanden. Bovendien is de bestaande wetgeving niet meer toereikend. Door de toename van data die wordt verwerkt, is bijkomende bescherming nodig. De GDPR is geen richtlijn, maar een verordening, wat betekent dat de tekst in elke Europese lidstaat op dezelfde manier wordt toegepast. Ze is van toepassing op alle automatische en digitale verwerkingen van persoonsgegevens, iets wat vandaag in nagenoeg elk bedrijf gebeurt. De concrete impact hangt af van bedrijf tot bedrijf en hoe gevoelig de data is die wordt verwerkt. Wat betekent de GDPR voor bedrijven? Vanaf 25 mei 2018 zullen bedrijven die persoonsgegevens verzamelen, volledig moeten voldoen aan de nieuwe set regels van de GDPR. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden. De voornaamste vernieuwingen in de GDPR draaien rond vier pijlers: TRANSPARANTIE: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier. DATA-OVERDRACHT: Burgers zullen hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen. RECHT OM VERGETEN TE WORDEN: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie dat vraagt, en als er geen geldig tegenargument gegeven kan worden ook als de data inmiddels gedeeld is met derde partijen. Wat zijn persoonsgegevens? De GDPR is van toepassing op persoonsgegevens, maar wat wordt daar precies onder verstaan? Letterlijk luidt de omschrijving: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Onder persoonsgegevens mag je dus alle informatie verstaan waarmee je een persoon kan herkennen zoals foto s, een naam, adres of rijksregisternummer. Ook digitale gegevens, blijven niet gespaard. Een gebruikersnaam of tweet kan gelinkt worden aan een naam, en een naam aan een persoon. Hetzelfde geldt voor een IP-adres. De enige categorie die buiten beschouwing wordt gelaten, is deze van geanonimiseerde gegevens. Denk bijvoorbeeld aan een foto waarbij de afgebeelde persoon onherkenbaar is gemaakt, of wetenschappelijk onderzoek dat anonieme markeerders van leeftijd en geslacht gebruikt.

4 MELDPLICHT BIJ DATALEKKEN: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens. Om die regels na te leven, moeten bedrijven exact weten waar ze persoonsgegevens verzamelen, en hoe deze beschermd en verwerkt worden. Daarom is het voor bepaalde bedrijven aangeraden om een Data Protection Officer aan te nemen; iemand die instaat voor de handhaving van de GDPR binnen het bedrijf. Wat zijn de voordelen? De GDPR kan rekenen op heel wat kritiek, maar uiteindelijk zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd legaal raamwerk bijvoorbeeld. Dankzij de uiteenlopende interpretatie van de vorige wetgeving, moesten bedrijven voorheen rekening houden met 28 verschillende raamwerken rond databescherming. Binnenkort zorgt de GDPR voor één legaal kader dat in heel Europa geldt. Zo wordt het gemakkelijker voor kmo s om de activiteiten in het buitenland uit te breiden, aangezien ze geen rekening moeten houden met een andere wetgeving. Bovendien kan de GDPR bedrijven op die manier collectief zo n 2,3 miljard euro per jaar besparen; geld dat normaal naar advocaten en consultants zou gaan om wijs te geraken uit de verschillende wetgevingen. Wat als de GDPR niet wordt nageleefd? Bedrijven die aan de GDPR verzuimen, kunnen zware repercussies verwachten. Zo wordt er in de GDPR gewag gemaakt van Dankzij de uiteenlopende interpretatie van de vorige wetgeving, moesten bedrijven voorheen rekening houden met 28 verschillende raamwerken rond databescherming verschillende boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-analyse uitvoert, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro. Hoe streng er zal worden gecontroleerd, is op dit moment giswerk. Weet wel dat het bijna onmogelijk is om 100% compliant te zijn. Bij controle is het daarom belangrijk dat je kan aantonen dat je wel je best hebt gedaan.

5 Zo weet je of je een Data Protection Officer nodig hebt Heeft jouw bedrijf al een Data Protection Officer aangesteld? Over de rol en noodzaak van een DPO bestaat wellicht het meeste onduidelijkheid in het kader van de GDPR. We proberen één en ander te verduidelijken. De Data Protection Officer moet erop toekijken dat het bedrijf de data bewaart en verwerkt volgens de regels van de GDPR. Hij kan met andere woorden onderzoeken hoe de data wordt verwerkt, met welke systemen dat gebeurt en op basis daarvan adviseren om bepaalde dingen aan te passen. Zelf draagt hij geen verantwoordelijkheid: indien de GDPR niet wordt nageleefd is niet hij, maar het bedrijf volledig aansprakelijk. De DPO fungeert met andere woorden louter als adviseur en toezichthouder. Losse definitie In bedrijven waar het naleven van de GDPR een uitdaging vormt, of overtredingen een grote im- pact inhouden, is het aanstellen van zo n DPO verplicht. Maar welke bedrijven zijn dat net? De wettekst is niet helemaal duidelijk in zijn definitie. Oorspronkelijk werd voorgesteld dat bedrijven met minder dan 250 werknemers vrijgesteld werden, maar die clausule heeft het in de definitieve wetgeving niet overleefd. In de uiteindelijke tekst wordt vermeld dat overheidsbedrijven, of organisaties die strafrechtelijke data verwerken, alvast zeker zijn van een verplichte DPO. Bij bedrijven die niet in die twee categorieën vallen, is dat minder zwart-wit. Officieel wordt in de wettekst beschreven dat zulke organisaties een Data Protection Officer moeten aannemen wanneer: een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen. Echt sluitend is die definitie niet: er wordt niet gezegd wat regelmatig en stelselmatig is of hoeveel data net onder de noemer van grote schaal zou vallen. Daarom publiceerde de werkgroep rond de wetgeving Article 29 Working Party (WP29) toelichting bij die termen. De groep raadt aan om een analyse te maken van de dataverwerking binnen je bedrijf om te zien of je binnen de bovenstaande criteria past. Ze leggen uit wat die drie criteria nu net inhouden.

6 Wat zijn kernactiviteiten? In het Engels luidt de omschrijving van bedrijven die een DPO nodig hebben iets anders dan het bovenstaande. Daar draait de omschrijving om de kernactiviteiten van een bedrijf; iets waar de Nederlandse beschrijving enkel naar verwijst met het woord hoofdzakelijk. Kortweg: er wordt gekeken naar hoe belangrijk de dataverwerking is in het bedrijf. De WP29 geeft het voorbeeld van een ziekenhuis. Om patiënten te helpen, moet het ziekenhuis hun dossiers verwerken. De kernactiviteit is gezondheidszorg, maar die activiteit zou onmogelijk worden zonder In bedrijven waar het naleven van de GDPR een uitdaging vormt of overtredingen een grote impact inhouden, is het aanstellen van een DPO verplicht de verwerking van gevoelige persoonsgegevens. Binnen het ziekenhuis moet de dataverwerking dus bekeken worden als een deel van de kernactiviteit, en daarom is de aanstelling van een DPO verplicht. Belangrijk is dat elk bedrijf wel persoonsgegevens moet verwerken om te functioneren, bijvoorbeeld de bankgegevens van werknemers om hun loon te storten of inloggegevens op het bedrijfsnet om IT-support te kunnen bieden. De verwerking van zulke data is wel noodzakelijk, maar wordt niet gezien als een kernactiviteit. Wordt data op grote schaal verwerkt? Misschien wel een van de vaagste omschrijvingen: dataverwerking op grote schaal. In de wettekst zelf wordt uitgelegd wat zeker wél en zeker niet tot die grootteorde behoort. Zo is dataverwerking op grote schaal in elk geval verwerking van gegevens op regionaal, nationaal of supranationaal niveau en behoort een dokter of advocaat die de gegevens van klanten verwerkt niet tot die categorie. Alles wat daartussen zit, blijft een grijze zone. WP29 geeft enkele meer genuanceer- de voorbeelden van dataverwerking op grote schaal: verwerken van patiëntendata door ziekenhuizen; verzamelen van reisdata van burgers op de bus; verwerken van klantendata door een verzekeraar of bank; verwerken van persoonlijke data voor behavioural advertising. Om te beslissen of een organisatie al dan niet data verwerkt op grote schaal, moet worden gekeken naar het aantal datasubjecten, het volume van de data, de tijdsduur waarin de data wordt verwerkt en het geografisch gebied van het verwerken, geeft WP29 nog mee. Is er sprake van regelmatige en stelselmatige observatie? Het regelmatig en stelselmatig observeren van gebruikers is een andere mogelijke indicatie dat je best een DPO aanneemt. Onder regelmatig en stelselmatig begrijpt WP29 gebruikers herhaaldelijk of constant in het oog houden, en op een georganiseerde manier. Elke vorm van volgen ( tracking ) en profileren op het internet valt onder deze noemer, waarschuwt de werkgroep. Voorbeelden zijn een telecomnetwerk beheren, retargeting, locatiegegevens tracken door mobiele apps, het monitoren van data via wearables, en meer. Zowel processor als controller De WP29 voegt nog toe dat een DPO verplicht kan worden voor de verwerker (processor) de organisatie die de verwerking uitvoert als de verwerkingsverantwoordelijke (controller) de organisatie die het doel van de verwerking bepaalt. Een voorbeeld moet dat duidelijk maken. Een klein familiebedrijf dat huishoudtoestellen verkoopt, gebruikt de diensten van een verwerker die gespecialiseerd is in online analytics en advertenties. Het familiebedrijf moet geen DPO aannemen: hun bereik is te klein en ze hebben te weinig klanten om in aanmerking te komen. De processor moet wel een DPO aanstellen, aangezien ze veel van dergelijke familiebedrijven bedienen en aan dataverwerking doen op grote schaal. Het kan daarnaast ook dat het bedrijf en de verwerker allebei een afzonderlijke DPO moeten aannemen, die dan samen moeten werken.

7 CHECKLIST: Maak je bedrijf compliant in 13 stappen De klok tikt voor bedrijven om zich voor te bereiden op de komst van de GDPR. Ben je nog bezig met de voorbereidingen of moet je nog beginnen, dan heeft de Privacycommissie een stappenplan voor je klaar. Door middel van dertien stappen kunnen bedrijven nagaan hoe ver ze staan in het proces van compliancy en wat er nog moet gebeuren. 1. Begin met bewustmaking Om te beginnen, kan je er maar best zeker van zijn dat medewerkers in het bedrijf op de hoogte zijn van de GDPR. Informeer werk- nemers over de aankomende veranderingen, en zorg ervoor dat sleutelfiguren weten wat de GDPR inhoudt. Zij moeten immers aanduiden op welke vlakken het bedrijf moet ingrijpen om compliant te worden. 2. Waar staat je data? Begin nu al met het vergaren van je data. Breng in kaart welke data je hebt bewaard en waar deze staat. Onderschat deze stap niet; niet alleen is het belangrijk om te weten waar de data zich bevindt, ook is het cruciaal om te weten met welke partijen je de informatie hebt gedeeld. Een informatie-audit kan daarbij helpen, volgens de Privacycommissie. 3. Privacyverklaring verbeteren Ga na of je privacyverklaring nog up-to-date is. Volgens de GDPR moeten bedrijven hun privacyverklaring aanvullen met extra informatie zoals de wettelijke grondslag voor de gegevensverwerking, de duur waarvoor je de gegevens bewaart, en of je de gegevens deelt buiten de EU. Bovendien moet de gebruiker op de hoogte worden gebracht dat hij of zij eventueel misbruik van zijn of haar gegevens aan kan klagen bij de Privacycommissie. Vermijd daarbij archaïsche taal: de privacyverklaring moet zo duidelijk mogelijk zijn. 4. Rechten van de betrokkene In de GDPR krijgt de betrokkene, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten. Bedrijven moeten het mogelijk maken om die rechten te vervullen. Controleer daarom of een gebruiker volgende acties kan ondernemen: Persoonsgegevens inkijken Gegevens verbeteren of verwijderen Direct marketingpraktijken weigeren Geautomatiseerde besluitvorming en profilering weigeren Gegevens overdragen naar andere leveranciers/bedrijven Normaal gezien zal je hier weinig hinder van ondervinden, aangezien de GDPR hiervoor sterk voortbouwt op de huidige privacywet.

8 5. Sneller gegevens inkijken De gebruiker heeft het recht om zijn of haar gegevens in te kijken; dat is nu ook al het geval. Onder invloed van de GDPR zal een bedrijf echter sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen. Bovendien moet je de gebruiker in dat geval informeren over de bewaartermijn van de gegevens, en moet je onnauwkeurige gegevens verbeteren als daar om gevraagd wordt. Als je een groot aantal verzoeken moet verwerken, kan het nuttig zijn om gebruikers toe te laten om hun gegevens online te raadplegen. De Belgische Privacycommissie raadt zulke bedrijven daarom aan een kosten-batenanalyse te organiseren om te zien of een online toegangssysteem een mogelijke oplossing is. 6. Bepaal een wettelijke grondslag In tegenstelling tot de huidige wet is het volgens de GDPR cruciaal om een wettelijke basis te bepalen voor de gegevensverwerking. Die basis bepaalt immers ook welke rechten de gebruiker heeft omtrent zijn gegevens. De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking, volgens de Privacycommissie. Die wettelijke grondslag moet beschreven worden in de privacyverklaring en nog eens verduidelijkt worden bij een verzoek tot inkijk. 7. Op de juiste manier toestemming vragen Controleer op welke manier je toestemming vraagt en hoe je deze bewaart. Op de verzameling van persoonsgegevens kijkt de GDPR streng toe of je de gebruiker voldoende inlicht. Je moet te allen tijde kunnen bewijzen dat er toestemming is gegeven voor de persoonsgegevens die je hebt bewaard. Dat moet expliciete toestemming zijn; geen vooraf aangevinkt vakje of andere vorm van niet-handelen. De gebruiker moet actief akkoord gaan. 8. Wat met minderjarigen? Vanaf nu moet ook sterker worden gecontroleerd op de persoonsgegevens van minderjarigen. Indien je bedrijf de gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Indien nodig moet je kunnen toetsen of deze van de ouder of voogd afkomstig is. Bovendien moet de privacyverklaring geschreven zijn zodat ook minderjarigen deze kunnen begrijpen. 9. Zorg dat je klaar bent voor een datalek De gevreesde meldplicht: datalekken waarbij de persoonsgegevens gevaar lopen, moeten gemeld worden aan de Privacycommissie. De nodige procedures moeten dus worden ontwikkeld om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Onderzoek ook welke persoonsgegevens ertoe kunnen leiden dat je de gebruiker zelf moet waarschuwen. Dat is bijvoorbeeld het geval wanneer bankgegevens gestolen worden, en de gebruiker mogelijk bestolen kan worden. 10. Privacy by design en PIA Implementeer de twee centrale begrippen van de GDPR: privacy by design en Privacy Impact Assessment (PIA). Privacy by design draait om het inbouwen van privacy in elk systeem vanaf de conceptfase. Elk proces moet met andere woorden vanaf het begin gericht zijn op privacy. Het houden van PIA s is daar onderdeel van: een PIA analyseert de De klok tikt voor bedrijven om zich voor te bereiden op de GDPR impact van bijvoorbeeld een nieuw systeem. Begin in dat opzicht nu al met het ontwikkelen van een goede strategie.wie voert de analyse uit? In welke situaties? Hoe kunnen bestaande systemen verbeterd worden door privacy by design? 11. Data Protection Officer Kijk allereerst na of je een Data Protection Officer (DPO) nodig hebt: dat is niet voor elk bedrijf verplicht. Als je er een nodig hebt, kan je al op zoek gaan naar een geschikte kandidaat. Een nieuwe, fulltime werknemer is niet per se nodig, denk ook aan een consultant of een interne werknemer. 12. Internationaal Als je in verschillende landen persoonsgegevens verzamelt, moet je nagaan welke autoriteiten toezicht houden over jouw activiteiten. Over het algemeen wordt naar de hoofdzetel gekeken: een bedrijf met een Belgische hoofdzetel, en daarnaast branches in bijvoorbeeld Nederland, valt nog steeds onder de Belgische Privacycommissie. Het kan echter ook zijn dat niet de hoofdzetel, maar een van de internationale takken beslist over de gegevensverwerking van het hele bedrijf. In dat geval valt het bedrijf onder de autoriteit in dat specifieke land. Check daarom waar de grootste beslissingen worden genomen inzake de verwerking van persoonsgegevens, en baseer je daarop om te weten welke autoriteit geldt. 13. Bestaande contracten Vergis je niet, de GDPR is ook van toepassing op eventuele diensten waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een verwerker, een bedrijf die de persoonsgegevens verwerkt zodat jij ze kan gebruiken, dan is ook die verantwoordelijk voor de privacy van de gegevens. Opgelet: een cloudprovider is volgens de GDPR evengoed een verwerker. Ook zij moeten de GDPR naleven, en als jij hun diensten gebruikt, ben jij verantwoordelijk om te controleren of ze compliant zijn. Controleer dus bestaande contracten en maak de nodige aanpassingen.

9 GDPR en de publieke cloud: hoe los je dat op? Alles wat as-a-service wordt aangeboden, zit in de cloud. Met de nodige veiligheidsgaranties van de partij van jouw keuze maakte het tot nu toe niet veel uit waar de back-up van je klantengegevens ergens gehuisvest werd. Zolang de back-up maar beschikbaar was! Dat verandert binnenkort. De General Data Protection Regulation (GDPR) heeft veel facetten maar strikte regels omtrent de opslag en de verwerking van persoonsgegevens is misschien wel het belangrijkste. De Microsofts, Amazons en Googles van deze wereld bereiden zich voor op de GDPR en claimen tijdig compliant te zullen zijn. Hetzelfde kan gezegd worden van iedere kleine speler die zichzelf serieus neemt. Je kan de providers echter niet op hun woord geloven. Als eigenaar van de data houdt de GDPR jouw verantwoordelijk voor het lot ervan, wat concreet betekent dat jij moet aantonen dat je voldoende moeite hebt gedaan om te achterhalen dat persoonsgegevens van klanten of personeel op een veilige plaats terechtkomen. Strikte voorwaarden De GDPR laat je toe om te vertrouwen op de publieke cloud, maar alleen wanneer je zeker weet dat de provider van jouw keuze aan de juiste voorwaarden voldoet. Zo mag je gerust naar een Amerikaanse partij stappen met gegevens over Europese burgers, zolang je tenminste kan aantonen dat die partij de gegevens in kwestie volgens GD- PR-normen zal behandelen. De gegevens moeten dus onder Europese vlag blijven, wat bescherming moet bieden tegen Amerikaanse NSA-praktijken. De regelgeving windt er geen doekjes om: je mag alleen cloudproviders kiezen die de juiste garanties kunnen bieden op het vlak van kennis, maar ook betrouwbaarheid. Wie met een Chinese start-up zonder enige staat van dienst in zee gaat en daarna ontdekt dat die de GDPR met de voeten treedt, mag zich dus niet aan alle schuld onttrekken. Europa verwacht van jouw als data-eigenaar dat je de nodige technische en organisato- Je mag alleen cloudproviders kiezen die de juiste garanties kunnen bieden op rische maatregelen neemt om te verzekeren dat de dataverwerking in overeenstemming met de regels gebeurt. Bovendien moet je volgens de GDPR kunnen aantonen dat de regels worden nageleefd. Dat mag je lezen als een inspanningsverplichting: je moet voldoende moeite hebben gedaan om je er van te vergewissen dat je cloudpartner de data juist behandelt, en je moet kunnen aantonen dat je die inspanning hebt geleverd. Eenvoudige richtlijnen De set regels waaraan jij en je cloudprovider je moeten houden, oogt uitgebreid, maar de krijtlijnen zijn best eenvoudig. De regelgeving omvat persoonsgegevens en vereist dat die op een transparante manier behandeld worden. De verzameling ervan mag alleen ten dienste van het doel waarom je ze hebt verzameld. Je mag dus geen bestaande gegevens gebruiken voor diepgaande gedragsanalyse van je klanten tenzij je daar expliciet de toestemming om vraagt. Je mag de gegevens bovendien niet langer bijhouden dan nodig voor het specifieke doel dat je voor ogen hebt. Vooral dat laatste vereist een inspanning van je cloudprovider: wanneer het tijd is om persoonsgegevens van een klant (maar bijvoorbeeld ook ex-werknemer) te wissen, moet je provider je kunnen garanderen dat de data ook echt weg is en

10 niet ergens op een obscure back-upserver blijft voortbestaan. Tot slot verwacht de GDPR dat je persoonsgegevens voldoende veilig behandelt. Aangezien je de veiligheid uit handen geeft wanneer je vertrouwt op een publieke cloudprovider, heb je ook daar erg concrete garanties van de provider nodig. Opnieuw legt de regelgeving de verantwoordelijkheid voor de naleving bij jou. Inspanningsplicht Dat het niet volstaat om even kort te polsen of de provider naar keuze GDPR-compliant is, mag intussen duidelijk zijn. Om niet in problemen te komen wanneer er zich bijvoorbeeld toch een datalek voordoet, doe je er goed aan om je in meer detail te vergewissen van de manier waarop een cloudspecialist met de GDPR omgaat. Beltug, de organisatie die CIO s en IT-specialisten verenigt, werkte een vragenlijst uit waarop jij je kan baseren bij de keuze van een cloudprovider. Het idee achter de lijst is dat je voldoende juiste vragen stelt aan een partij en dat die concrete antwoorden geeft, zodat jij kan aantonen dat je weet dat je partner compliant is, en dat je moeite hebt gedaan om dat na te gaan. Om zelf GDPR-compliant te zijn, moet je samen met je cloudprovider vanaf 25 mei een contract uitwerken waarin die compliancy naar voren komt. De vragenlijst probeert daarbij te helpen. Vragen, vragen, vragen De informatie die je moet inwinnen, gaat erg breed. Zo is het een goed idee om te informeren naar de gezondheid van een bedrijf, De GDPR mag het niet moeilijker maken om te vertrouwen op de publieke cloud maar ook naar het aantal werknemers en hun technische competenties. Natuurlijk dien je de nodige vragen over het niveau van de beveiliging te stellen. Denk daarbij aan vragen over de monitoring van trafiek, maar ook de manier waarop je cloudprovider je gegevens beschermt tegen fysieke diefstal vanuit het datacenter. Omdat het volgens de GDPR jouw verantwoordelijkheid is om een lek van persoonsgegevens officieel te melden, dien je van je provider ook te weten hoe die jou op de hoogte zal brengen van een beveiligingsprobleem binnen het publieke datacenter. Zoals eerder vermeld, moet je zeker achterhalen welke garanties je provider biedt dat data effectief gewist wordt wanneer je daarom vraagt, met een duidelijke nadruk op de procedures bij het wissen van back-ups. Op zich mag de GDPR het niet moeilijker maken voor bedrijven om te vertrouwen op de publieke cloud. Feit is wel dat je zelf wat werk moet verrichten om je te vergewissen dat je partner compliant is, en dat om zelf compliant te zijn. Je zal in ieder geval voor het verlopen van de deadline nog eens moeten samen zitten met je provider.

11