Happy Data Protection Day 2019!

Vandaag, 28 januari, is het wereldwijd Data Protection Day (buiten Europa Data Privacy Day genoemd). De dag is in 2006 door de Council of Europe in het leven geroepen om de awareness rondom dit thema te vergroten.

Een korte terugblik

Het is op het einde van januari ook nog niet te laat om nog snel even terug te kijken op het vorige jaar. Een cruciaal jaar voor dataprotectie aangezien per 25 mei 2018 de Algemene Verordening Gegevensbescherming (GDPR) in heel Europa gehandhaafd ging worden. In de aanloop naar die datum is het nodige paniekvoetbal gespeeld. Organisaties die persoonsgegevens verwerken en die zich nog nooit hadden beziggehouden met de Wet Bescherming Persoonsgegevens (een wet uit het jaar 2000!) werden erop attent gemaakt dat ze grote financiële risico’s liepen en ‘compliant’ moesten worden.

Gelukkig viel het met de boetes voor die organisaties nog wel mee want ook de lokale Europese Autoriteiten Persoonsgegevens waren nog niet in staat te handhaven conform de wet. Maar vergis u niet, de Autoriteiten Persoonsgegevens hebben zich goed warmgelopen en de proactieve onderzoeken en de onderzoeken naar aanleiding van incidenten en klachten zijn in volle gang. Inmiddels is een Portugees ziekenhuis beboet voor €400.000 en Google door de Franse Autoriteit CNIL voor €50 miljoen onder GDPR-wetgeving. Vele boetes zullen volgen, zorg dat u er niet bijzit.

2018 was ook het jaar van enorm grote datalekken. Vrijwel dagelijks vlogen de nieuwsberichten ons om de oren van organisaties die persoonlijke gegevens hadden gelekt, kwijtgemaakt of niet meer konden benaderen. De Marriot breach heeft veel aandacht gekregen vanwege de omvang (een half miljard records waren gelekt over een langere periode) maar de kenners weten dat er veel grotere bestanden te koop zijn op het Dark Web.

En 2019 dan?

Als we de vacatures in de gaten houden, dan zien we dat er meer en meer Chief Privacy/Data Officers op het hoogste managementniveau worden aangenomen. Zij zullen bedrijfsbrede data protection-programma’s gaan (door)starten en deze gaan bemensen met specialisten. Data Lifecycle Management zal hierin centraal staan. Data is immers het nieuwe goud , met de kanttekening dat data op een gegeven moment vernietigd of geanonimiseerd moet worden.

Ook dit jaar zal het nieuws gedomineerd worden door massieve datalekken, ransomware, verkeerd geadresseerde e-mails en vergeten documenten in de trein. Als u denkt de dans te kunnen ontspringen, dan werkt u vast zonder medewerkers. Menselijk handelen is nog steeds de grootste veroorzaker van datalekken. Zorg dus dat uw medewerkers getraind zijn op het beschermen van persoonsgegevens, zorg dat ze de juiste tools ter beschikking hebben voor veilige communicatie en zorg dat – als het misgaat- uw datalekprotocollen op orde en geoefend zijn. De ‘crisisdatalekmanager’ zal zijn intrede doen voor bedrijven die onvoorbereid zijn en toch aan de beurt komen.

Data protection tooling

Komende jaren zullen veel organisaties zich ook beseffen dat het implementeren van data protection tooling ze veel tijd en kosten kan besparen in het onderhouden van de verwerkingsregisters, het uitvoeren van DPIA’s en het tijdig verwerken van de rechten van betrokkenen. Tools ter ondersteuning van de Functionaris Gegevensbescherming en de Data Protection Officers zijn inmiddels voorhanden en kunnen voor verlichting zorgen. Tools voor veilige communicatie, anonimisering en encryptie kunnen helpen datalekken te voorkomen. De enorme grote aantallen ongestructureerde data in mailboxen, dropboxen, sharepoints en back-up archieven moeten worden gescand en men zal met het resultaat aan de slag moeten.

Organisaties zullen Data Protection By Design en Default gaan omarmen en hiertoe gespecialiseerde kennis in huis halen. Business platform developmentteams zullen privacy (en security) vanaf het ontwerp tot aan de uitfasering mee gaan nemen in hun aanpak en aantoonbaar maken.

ePrivacy Verordening

Tot slot zal ook de wetgeving niet stilstaan, de AVG zal aangevuld en aangepast worden en ook buiten de EU zal men de strenge Europese wetgeving als voorbeeld zien en gaan volgen. De eerstvolgende zware nieuwe Europese implementatie zal de ePrivacy Verordening zijn, die hiermee de ePrivacy Richtlijn en de hierop gebaseerde Telecommunicatiewet zal vervangen. Wij verwachten dat deze wet eind 2019 van kracht wordt en deze zal significante impact hebben op online communicatie, cookie-, datatracking- en spamregels bij organisaties.

Kortom, het feest is nog lang niet over en het vakgebied data protection zal een flinke stap maken in de volwassenheidfasering, zoals ook het security-vakgebied dat heeft gedaan. De twee zullen hand in hand gaan optrekken en dat is precies waar Ordina Security en Privacy Services op voorgesorteerd heeft. Onze consultants zullen u helpen met de hierboven beschreven uitdagingen. Naast de juridische vraagstukken die komen kijken bij privacy implementaties, zijn zij bij uitstek in staat om hiervan de organisatorische en technologische impact te kunnen overzien. Wij zullen u komend jaar helpen de data protection roadmap vast te stellen en samen met u het veranderprogramma uitvoeren. Hierdoor kunt u niet alleen de autoriteit persoonsgegevens overtuigen dat u gegevensbescherming serieus neemt, maar neemt u ook een voorsprong op de veranderingen die komen gaan. Ahead of Change!

Namens het hele privacy-team wens ik jullie een fijne en vertrouwelijke Data Protection Day toe.

Voor meer informatie kunt u contact opnemen met:

Dimitri van Zantvliet Rozemeijer MBA CISM CIPP/E CIPM FIP
Manager Privacy Practice
Ordina Security en Privacy Services
dimitri.van.zantvliet.rozemeijer@ordina.nl