GDPR? Waar maakt iedereen zich zorgen over?
Mens als verwerker van persoonsgegevens blijft zwakste schakel
3 april 2017 09:23 | Eddy Van der Stock | 1
'Altijd interessant om artikels te lezen over GDPR. Enkel jammer dat er niet in staat dat dit in essentie niet echt veel verandert ten opzichte van vroegere wetgeving en dat gezond boerenverstand en slim en efficiënt omgaan met persoonsgegevens (en andere gevoelige data) nog altijd primeert.' Met deze opmerking becommentarieerde computerwetenschapper Marc Vael het zoveelste artikel op de dagelijkse lijst rond GDPR. De kop klopt. Betrokkenen die al jaren de regelgeving volgen en toepassen, vragen zich af waarover iedereen zich eigenlijk druk maakt. Hebben we dan al die jaren op een andere planeet geleefd, op een plek waar de bescherming van persoonsgegevens geen enkel belang had? Het lijkt alsof we pas belang aan iets hechten als het 'duur' wordt.
Duur in eerste instantie omdat iedereen die de vier karakters GDPR nog maar net kan uitspreken aan het einde van het gesprek een torenhoge factuur op tafel mag leggen – wat ook nog eens aanvaard wordt. Maar vooral duur omdat er met een zware boetehamer wordt gezwaaid. Weliswaar nog niet gedefinieerd, maar 'het zal zwaar zijn', vertelde een consultant mij toen ik onwetend de vraag stelde.
Net zoals in het verkeer of bij het betalen van belastingen, komen we als goede kinderen van ons speciaal landje pas in beweging als er gedreigd wordt met sancties. Dus GDPR krijgt aandacht, want die gaat ons bij overtreding 'geld kosten'. Niet zozeer de eis dat de gegevens van een persoon (en bij uitbreiding sociale, medische, juridische en andere persoonlijke gegevens) niet zomaar op de straatstenen mag terechtkomen, houdt ons wakker, wel dat het geld zal kosten als het gebeurt.
Informatieveiligheid
Eén van de redenen waarom de openbare centra voor maatschappelijk welzijn in België sneller informatieveiligheid hebben omarmd dan hun moederorganisaties – steden en gemeenten – is net deze. De dreiging om afgesneden te worden van de kruispuntbank sociale zekerheid en het mogelijk afsnijden van bepaalde subsidiekanalen, zette hen collectief aan om te luisteren naar personen die iets hadden te vertellen over de bescherming van persoonsgegevens.Gemeenten echter die in datzelfde kader maar binnen het domein van het gebruik van het rijksregister al langer een aantal maatregelen dienden te treffen, bleven onbeweeglijk. Waarom zouden ze ook? Wat was de kans dat er iets gebeurde?
Maar de ergste vraag die permanent opdook, was hoeveel kost het aan boetes als men niet voldeed? Het antwoord was niks, dus kwam er weinig schot in de zaak.
Zo bleef onder meer het aanstellen van een informatieveiligheidsconsulent jarenlang uit. De persoon die de interne verwerking van de persoonsgegevens mee bewaakte, werd op papier aangeduid; cumulfuncties voor tijdens de koffiepauzes, of extern, waarbij diezelfde figuur pakweg twintig andere entiteiten een generiek plan aanreikte.
De jarenlange pleidooien aan belangenverenigingen om informatieveiligheid door de organisatie en zijn verantwoordelijken te laten adopteren in een cel werden slechts mondjesmaat toegepast, maar staan nu wel hoog op de agenda.
GDPR versterkt de integratie van specialisten in de organisatie, door de aan te wijzen 'data protection officer' - een persoon met 'expert knowledge' over privacy en databeveiliging – te verplichten kennis van de bedrijfsspecifieke dataprocessen te hebben. In het wilde weg aanduiden van een Chinese vrijwilliger is niet langer voldoende, maar evenmin de externe begeleiding die op een vrijdagmiddag vier uurtjes aan 'veiligheid' in de organisatie komt werken.
Persoonsgegevens
De verantwoordelijkheid ligt zowel bij diegene die de persoonsgegevens gaat bewaren als bij diegene die ze gaat verwerken; accentverschillen die totaal uiteenlopende situaties creëren bij wat de kern van de GDPR is. Die kern namelijk – en voor mijn part het enige belangrijkste versterkt aandachtspunt – is de manier waarop de gebruiker toestemming moet verlenen voor de verwerking van zijn of haar data, en de manier waarop deze geïnformeerd moet worden bij datalekken.Technologieverkopers en juristen zullen aan deze verordening en haar uitvoering nog een vette kluif hebben, maar net zoals Marc sluit ik me aan bij de groep die dit dossier onder de categorie 'gezond boerenverstand' wil blijven plaatsen.
Bewustwording
Als iedereen zichzelf verplaatst in de huid van de persoon van wie ze de gegevens verwerken of bewaren - met de kernvraag 'hoe zou ik hiermee omgaan als dit mijn gegevens waren?' - dan zijn we al een heel eind. Want hoe sterk ook het technologisch Fort Knox gebouwd mag zijn, hoe groot ook de juridische expertkennis in de organisatie, de mens als verwerker van die gegevens blijft de zwakste schakel.Daarom blijft het belangrijk om medewerkers in de organisaties die persoonsgegevens verwerken permanent bewust te houden van de mogelijke valkuilen. Met simpele instrumenten en bewustmakingscampagnes rond een goed paswoordbeleid, het niet laten rondslingeren of onnodig uitwisselen van lijsten met persoonsgegevens, et cetera, bereik je veel meer dan met de zoveelste ingewikkelde en duurbetaalde 'GieDiePieaaR'-uiteenzetting.
Maar hoe wapenen we ons dan tegen die dreiging waarbij de wereld lijkt te vergaan? Zorg vooral dat de organisatie nadenkt over informatieveiligheid. Creëer een cel met gelijkgestemden, ondersteun bij voorkeur de interne veiligheidsspecialist die de juiste kennis mag opdoen en bouw samen stapsgewijs aan een gezond beleid rond de bescherming van persoonsgegevens en aanverwante informatie. Voor de publieke sector blijven de richtsnoeren een zeer mooie en begrijpbare set en kan je met de risico- en maturiteitsmeting al flink aan de slag.
Eddy Van der Stock, voorzitter bij de Vlaamse ICT organisatie (V-ICT-OR)
http://www.computable.be/artikel/opinie/security/5990440/5682740/gdpr-waar-maakt-iedereen-zich-zorgen-over.html