Vermijd deze 10 valkuilen rond de GDPR

Laatste update 29 juni 2022

Ondanks alle media-aandacht voor de GDPR is er bij bedrijven nog steeds veel onduidelijkheid over deze nieuwe wetgeving. Is die ook op hen van toepassing? En zo ja, hebben ze de privacybescherming van hun gegevens wel goed op orde? Om hierbij te helpen, heeft Jeroen Renard, van Previder, een lijst opgesteld met de belangrijkste valkuilen waar bedrijven in kunnen trappen ten aanzien van het naleven van de GDPR.

De GDPR is een ingewikkelde wet, omdat hij niet voor honderd procent vanuit de juridische taal één-op-één naar een moderne IT-omgeving kan worden vertaald. Veel van de bepalingen in de nieuwe privacywet doen in feite een beroep op het gezonde verstand van de bedrijven die eronder vallen. Het uiteindelijke doel is dat organisaties de privacy van burgers beter beschermen. Hoe zij dit exact doen, verschilt per situatie en per organisatie. Misschien is dit een van de redenen waarom veel mensen een totaal verkeerd beeld hebben van de GDPR en welke gevolgen de wet voor hen heeft. Herken je één of wellicht meerdere van de volgende valkuilen? Dan is het de hoogste tijd om snel actie te ondernemen!

1. Wij verwerken geen gegevens van consumenten

Sommige B2B-bedrijven lijken te denken dat ze niet met GDPR te maken hebben, omdat ze geen gegevens van consumenten verwerken. Dit is een misvatting. De wet is bedoeld om de gegevens van alle burgers te beschermen, dus hieronder vallen ook de eigen medewerkers en die van klanten en partners.

2. Onze organisatie heeft minder dan 250 medewerkers

Zelfs gerenommeerde marktpartijen beweren soms dat de GDPR alleen geldt voor bedrijven met meer dan 250 medewerkers. Dat klopt niet. Het is wel zo dat bedrijven die bepaalde gevoelige gegevens verwerken of aan profiling doen, bijvoorbeeld in de zorg en verzekeringen, verplicht zijn een verwerkingsregister bij te houden. Daarin moeten ze onder andere vastleggen welke gegevens ze verzamelen, waarvoor ze worden gebruikt, hoe lang ze worden bewaard. Dit is bewerkelijk en geldt in principe ook altijd voor de overheid en voor bedrijven met meer dan 250 medewerkers. Maar los van het bijhouden van zo’n register gelden de overige bepalingen van de GDPR dus voor iedereen die persoonsgegevens verwerkt.

3. Wij vallen onder de AVG en dus niet de GDPR

Er zijn partijen die beweren dat de AVG iets anders is dan de GDPR, en dat er voor deze ‘Nederlandse wet’ andere regels zouden gelden. Voor alle duidelijkheid: de Algemene Verordening Gegevensbescherming (AVG) is slechts de Nederlandse vertaling van de Engelse naam General Data Protection Regulation (GDPR). De wetten zijn inhoudelijk identiek. In Nederland is de uitvoeringswet Algemene Verordening Gegevensbescherming opgesteld om de uitvoering van de GDPR en het intrekken van de Wet Bescherming Persoonsgegevens (Wbp) te organiseren.

4. We zijn GDPR-proof met een ISO 27001-certificering

De Autoriteit Persoonsgegevens heeft aangegeven dat bedrijven die over een managementsysteem beschikken dat voldoet aan ISO 27001 of NEN7510, dan wel bij de inrichting van de beveiliging voldoen aan de NCSC-beveiligingsrichtlijnen voor webapplicaties, waarborgen hebben ingericht die voldoen aan eisen uit wet- en regelgeving op het gebied van privacy en de GDPR. Maar hoewel dit soort maatregelen op het gebied van security een belangrijk onderdeel zijn van de privacybescherming, toch komen er nog veel meer zaken bij kijken. Denk bijvoorbeeld aan veilige procedures bij het interne gebruik van digitale en fysieke documenten, of bij zaken als cameratoezicht en het gebruik van IoT-applicaties in winkelcentra.

5. Er worden alleen persoonsgegevens uitgewisseld met ‘veilige’ landen

Er zijn verschillende landen waar bedrijven Europese persoonsgegevens mee mogen uitwisselen, waaronder bijvoorbeeld Amerika, omdat dit land onder de Privacy Shield regeling valt. De EU heeft ook een lijst opgesteld met landen waarmee je veilig gegevens kunt uitwisselen. Hieruit wordt vaak geconcludeerd dat bedrijven vrij persoonsgegevens met deze landen mogen uitwisselen. Dit is veel te kort door de bocht. Bedrijven moeten nog steeds waarborgen voor gegevensbescherming treffen en daarnaast controleren of de buitenlandse partij zich ook aan de regels houdt. De eerste stap hierbij is het sluiten van een bewerkersovereenkomst, en dit vervolgens toetsen.

6. Onze omgeving is GDPR-proof volgens een grondige pentest

Veel bedrijven investeren momenteel in pentests, waarbij ethische hacker hun systemen uitvoering testen op kwetsbaarheden. Daarmee kunnen ze aantoonbaar maken dat hun IT-omgeving of online diensten op het moment van testen veilig zijn qua security, maar dit zegt niet altijd iets over de bescherming van privacygevoelige informatie. Net als bij security-certificeringen is een pentest slechts een onderdeel van het gehele plaatje.

7. Volgens onze juridische afdeling zijn we klaar voor de GDPR

Zoals eerder gezegd, vertrouwt de GDPR voor een groot deel op de technische invulling door bedrijven zelf en gezond verstand over omgang met persoonsgegevens. Het advies van een jurist over het voldoen aan de wet is daarom altijd belangrijk om mee te nemen, maar niet altijd maatgevend voor wat in de praktijk werkt. Het is een interpretatie en biedt randvoorwaarden voor de verwerking, die daarnaast ook getoetst zouden moeten worden op hun technische en procedurele onderbouwing.

8. Nederlandse burgers zijn helemaal niet zo angstig over hun privacy

Er wordt soms nog wat te makkelijk gekeken naar wat nu wel of niet privacygevoelige informatie is en waarom die beschermd moet worden. Het vrijwillig publiek delen van vakantiefoto’s klinkt misschien niet risicovol, maar in de metatags zit veel gevoelige informatie verscholen, waaronder de tijd, locatie en het type camera of telefoon. Hiermee zou een inbreker precies kunnen zien dat in het buitenland bent, en vervolgens op basis van eerdere foto’s je thuisadres opzoeken. Stel dat je bijvoorbeeld een bedrijf hebt dat het online delen van foto’s faciliteert, dan moet je je afvragen of het niet verstandig is om deze metadata vanuit privacyoverwegingen uit de afbeeldingen te wissen.

9. De GDPR draait alleen om privacybescherming van digitale gegevens

We leven in digitale wereld, waardoor we weleens vergeten dat er nog steeds heel veel privacygevoelige informatie in papieren vorm door bedrijven wordt bewaard. Een goed voorbeeld zijn de kopieën van paspoorten van medewerkers, die meestal bij hun aanstelling worden gemaakt. Deze kopieën blijken in het illegale circuit flinke bedragen op te leveren! De kopieën worden meestal gewoon in een map of archiefkast op kantoor bewaard. Het is dus heel belangrijk om je te realiseren dat ook papier onder de GDPR valt.

10. Een hack of ransomware-aanval valt niet onder datalekken

Een laatste valkuil bij de GDPR is dat bedrijven soms denken dat gehackt worden, of het slachtoffer worden van ransomware, niet onder de noemer ‘datalekken’ valt. De gedachte hierbij is wellicht dat gegevens niet door eigen nalatigheid is gelekt, maar door een actieve aanval. Of, in het geval van ransomware, dat niet het stelen van gegevens het doel was van de cybercrimineel, maar het lospeuteren van losgeld. Dit klopt in principe, maar ransomware heeft toegang tot alle gegevens op een systeem en kan die in theorie ook wegsluizen. In beide gevallen is er dus sprake van een datalek, en dit moet gewoon gemeld worden aan de Autoriteit Persoonsgegevens.

Hype en schijnveiligheid

We worden bijna doodgegooid met commerciële teksten en aanbiedingen van allerlei bedrijven rond de GDPR. Het zou mij niet verbazen als er binnenkort zelfs auto’s op de markt komen met een dergelijk label, onder het mom dat ze de persoonlijke informatie van de eigenaar en het voertuig goed zouden beschermen. Dit is natuurlijk kolder. Er wordt schaamteloos ingespeeld op de hype rond de GDPR door bedrijven een gevoel van schijnveiligheid te verkopen. Ik hoop dat met dit stuk een aantal belangrijke misvattingen rond privacybescherming zijn opgehelderd. Maar uiteindelijk komt het toch aan op gezond verstand over wat de mogelijke privacyrisico’s zijn van de persoonsgegevens waarmee je werkt. Zolang je als IT- of security-professional voor jezelf kunt verantwoorden dat die optimaal beschermd zijn, zou dit ook moeten gelden voor de GDPR.