Door de razendsnelle evolutie van Big Data dient het wetgevend kader rond dataprivacy dringend geüpdatet te worden. De General Data Protection Regulation wordt waarschijnlijk in de loop van 2015 goedgekeurd. En daarvoor begint u het best nu al te plannen.
De goedgekeurde tekst van de Proposal of General Data Protection Regulation, kortweg GDPR, wordt in de loop van 2015 verwacht. Na een overgangsperiode van twee jaar wordt de GDPR in 2017 van kracht in alle lidstaten. Geen wonder dat dataprivacy een stijger is op de prioriteitenlijst van de Chief Risk Officer, de Chief Information Officer en de Compliance Officer.
Data minimization
De GDPR is opgebouwd rond drie basisprincipes. Data minimization, het eerste principe, houdt in dat de verantwoordelijke voor dataverwerking niet méér data mag inzamelen dan strikt genomen vereist is voor een bepaald doel. Zodra dat doel weg valt en de gegevens geen nut meer hebben, dienen ze te worden verwijderd. Hoewel Big Data-toepassingen per definitie zo veel mogelijk gegevens verzamelen, staat het minimization-principe Big Data niet a priori in de weg.
Voorwaarde is dat er nauwlettend wordt toegezien op de wettelijkheid van de toepassingen. Data minimization impliceert voorts dat gegevens in de onderneming alleen toegankelijk mogen zijn voor personen die er voor hun functie over moeten beschikken. Juridisch is dat een duidelijk principe, maar de vertaalslag naar concrete beleidsrichtlijnen en operaties is vaak een ander verhaal. Daar zijn een aantal technische hulpmiddelen voor vereist, zoals een adequaat acces right management systeem en een weloverwogen data-architectuur. U brengt die dan ook het best in orde, vooraleer u overgaat tot de implementatie van de GDPR.
Transparantie
Media-aandacht rond privacy, de nieuwe informatieverplichtingen en de strengere voorwaarden rond het gebruik van toestemming als verwerkingsgrond voor persoonlijke gegevens. Dat alles resulteert in een grotere vraag naar transparantie, de tweede pijler van de GDPR. Gevolg? Veel instellingen moeten hun precontractuele informatieverstrekking en voorwaarden gevoelig herzien. Ook moeten ze nagaan of er voldoende grond is om in het verleden vergaarde data te behouden en te gebruiken voor alternatieve doelstellingen.
De GDPR verankert bovendien de rechten van het datasubject. Ieder mag inzage vragen in de over hem verzamelde data en ten alle tijden een gegeven toestemming intrekken, waardoor de verantwoordelijke verplicht wordt de data te wissen. Zonder een goede data-architectuur en inzicht in de ver werkings - processen en governance-structuur, kunnen die rechten onmogelijk gegarandeerd worden. Positief gevolg van die verplichting is de betere datakwaliteit. Want datasubjecten zullen vlot toegang tot hun gegevens hebben en eventuele fouten zelf kunnen rechtzetten.
Verantwoordelijkheden
De grootste verandering situeert zich op het vlak van de verantwoordelijkheden. Zowel de verantwoordelijke voor de verwerking als de verwerker van persoonlijke gegevens zijn beide verantwoordelijk en aansprakelijk voor het respecteren van de GDPR. Bovendien is er de verplichting om door audits en Privacy Impact Assessments de gedane inspanningen te documenteren en wordt de omkering van de bewijslast ingevoerd in het voordeel van het datasubject.
Verder zal ook het toezicht worden geharmoniseerd en verscherpt, met een maximale sanctie van 5 procent van de wereldwijde omzet. U bent dus maar beter goed voorbereid.