linkedintwitter

De mogelijke valkuilen

Niet alleen wordt het kort dag om alles klaar te hebben voor de nieuwe verordening die al vanaf mei 2018 in voege treedt, er zijn ook enkele valkuilen waar bedrijven zich bewust van moeten zijn én er is nood aan een nieuwe rol binnen het bedrijf om alles in goede banen te leiden.
Als je het een en ander van nabij bekijkt, kan je je de vraag stellen of de Europese regelgevers de implicaties van hun actviteiten goed hebben ingeschat. De theorie is dan wel mooi, ze (zo snel) omzetten in de praktijk kan problemen opleveren. We schetsen enkele van de belangrijkste problemen waar je mee geconfronteerd kan worden bij de aanpassing naar de nieuwe wetgeving.

Data afschermen

Databestanden zullen vanaf mei 2018 goed afgeschermd moeten worden. Ze moeten beschermd worden tegen ‘breach’, een inbreuk van derden of, anders gezegd, ongeautoriseerde toegang. Bij het beschermen van de toegang tot de data is het niet voldoende om een log-in te geven aan personen die een databestand mogen openen. De data mogen niet onmiddellijk of zoals dat heet in ‘klare taal’ beschikbaar zijn. Ze moeten in een versleutelde vorm aanwezig zijn. Die maatregel geldt niet alleen voor grote bedrijven, maar ook voor een KMO’s die een klein bestand van klanten hebben en zelfs voor sportclubs die ledenlijsten bijhouden.
Daar komt nog bij dat àls er een geval van ‘breach’ is geweest, de bestandhouders een meldingsplicht hebben. In de huidige regelgeving is dat niet het geval.

Pseudonimiseren en anonimiseren

Er moet nagegaan worden hoe data gebruikt worden. Voor het versturen van een direct mail is het logisch dat naam en adresgegevens nodig zijn om het poststuk op de juiste bestemming te laten toekomen. Maar concrete gegevens als naam en adres zijn niet altijd in die vorm nodig om te profileren en om te segmenteren. Dan is het noodzakelijk om die data te anonimiseren of te pseudonimiseren. Het komt erop neer dat naam en adresgegevens losgekoppeld worden van bijvoorbeeld aankoopgegevens (bij een klantenkaart) of van betaalgedrag (bij een bank). Die data kunnen dan geëncrypteerd worden en daarmee kan men dan werken om tot algemene trends te komen. Nadien kan dan de algemene informatie weer aan de concrete data gekoppeld worden om een bepaald segment een aanbieding te doen.

Privacy by design

Overigens kan de consument laten weten er geen prijs op te stellen dat zijn gegevens gebruikt worden voor profilering en segmentering. Die moeten dan ook ‘weggeduwd’ worden als het bestand voor segmentering gebruikt wordt. In de ontwikkeling van software voor bestanden moet daar rekening mee gehouden worden. Dat is wat men noemt privacy by design. In die ontwikkeling moet ook rekening gehouden worden met het recht op vergeten te worden. Met andere woorden: het niet meer voorkomen in een bestand.

Alles beschrijven

De controle op databases en op de verwerking ervan wordt vanaf 2018 ook groter. Voor het gebruik van gepersonaliseerde reclame per mail of e-mail gaan bestanden tijdelijk naar verwerkers. Die data komen binnen (al dan niet in versleutelde vorm), worden verwerkt en daarna vernietigd. De nieuwe verordening bepaalt dat dat proces van beschermen, ontvangen, gebruiken en vernietigingen beschreven moet worden.

Gewoon deleten?

De EU-verordening stelt de bedrijven voor grote IT-technische problemen. Het blijkt niet gemakkelijk te zijn om de gegevens van een persoon die vergeten wenst te worden uit de database te verwijderen door zomaar op de delete-knop te duwen. Die gegevens zijn, als ze gedeleted wordt, niet meer zichtbaar maar zitten nog altijd ergens in het systeem. Dat moet wel, omdat anders de database zelf onbetrouwbaar wordt en er problemen kunnen ontstaan met de andere gegevens. Een database is immers een historische keten waar de gegevens integraal deel van uitmaken. Wat er bij ‘vergeten’ moet gebeuren, is de gegevens op zo’n manier opzij zetten en ontoegankelijk maken dat de interne connecties toch behouden worden.

NIEUW: de verplichte Data Protection Manager

Nieuw in de verordening is dat bedrijven een data protection manager moeten hebben. Het Consilium Europe zegt daarover dat er “... in elke instelling een functionaris voor gegevensbescherming (Data Protection Officer - DPO) wordt aangesteld. De DPO heeft tot taak op onafhankelijke wijze te zorgen voor de correcte toepassing van de gegevensbeschermingsregels binnen zijn instelling. Ook moet hij een register bijhouden van de door zijn instelling verrichte verwerkingen van persoonsgegevens. Daarnaast geeft de DPO aan de Europese Toezichthouder voor gegevensbescherming door welke gegevensverwerkingsactiviteiten een risico voor de rechten en de vrijheden van de betrokkenen kunnen inhouden.”

Dat is een hele boterham. Daar komt nog bij dat zo’n functionaris extern moet zijn. Als er iemand intern wordt aangeduid is er immers een belangenconflict en kan die persoon niet onafhankelijk functioneren. Wellicht dat een aantal onafhankelijk instellingen daarom binnenkort dit type activiteiten in hun aanbod zullen opnemen.