De vijf grootste misvattingen over de GDPR

Elke organisatie die werkt met persoonsgegevens - dat is dus het absolute merendeel van de organisaties in Nederland - krijgt te maken met deze wetgeving. Het is dan ook belangrijk te weten wat de GDPR precies inhoudt en wat het betekent voor de organisatie. Rackspace heeft daarom de vier grootste misvattingen over de nieuwe General Data Protection Regulation-wetgeving (GDPR) in kaart gebracht.

Binnen twee jaar (op 25 mei 2018) treedt de GDPR in werking. Het vervangt onder andere de Europese Data Protection Directive die uit 1995 stamt. Bedrijven hebben behoefte aan de juiste informatie over deze nieuwe wetgeving om een juiste inschatting te kunnen maken van de impact die deze heeft op hun bedrijfsvoering. Er doen allerlei geruchten de ronde over de GDPR die ervoor kunnen zorgen dat sommige bedrijven in de problemen komen. Rackspace ontrafelt een aantal van de grootste mythes voordat ze voet aan de grond krijgen.

1. Cloud- en security-leveranciers zijn verantwoordelijk voor de data, niet de bedrijven zelf
Niet alleen de bedrijven die data verzamelen, maar elke organisatie die data in handen heeft, moet er zeker van zijn dat het compliant is met de nieuwe regels. Dat betekent dat elk bedrijf dat data verwerkt onder deze wet valt, of het die data nu opslaat of niet. Voorheen namen veel organisaties aan dat ze de verantwoordelijkheid konden doorschuiven naar hun cloud- en/of security-leveranciers. Maar het tij is aan het keren en zowel deze cloud- en security-partijen alsook hun klanten zijn steeds beter op de hoogte van de security-maatregelen die getroffen moeten worden om hun data te beveiligen.

2. Duitse data mag de grens niet over
Een gerucht dat de kop opstak nadat de GDPR was aangenomen is dat data die in Duitsland is opgeslagen de grens niet over mag. Dit klopt niet. Data mag zeker naar een ander land verstuurd en daar opgeslagen worden, zolang het juiste proces maar wordt gevolgd. Er zijn altijd restricties op waar data naartoe kan gaan, hoe het gebruikt mag worden en wie er toegang toe heeft. Zolang een bedrijf compliant is met de EU-wetgeving zal Duitsland niet anders worden behandeld dan andere EU-landen. Neem bijvoorbeeld belastinggegevens. Deze mogen best buiten Duitsland worden opgeslagen, zolang er maar een kopie staat ergens in Duitsland en de data altijd toegankelijk is voor de juiste mensen van de Duitse Belastingdienst.

3. Machtige landen zoals de VS krijgen toegang tot data in andere landen
Het verhaal dat machtige overheidsdiensten toegang kunnen eisen tot data die is opgeslagen in andere landen hoor je vaak. Dit klopt echter niet. Zo eiste de Amerikaanse overheid recentelijk dat Microsoft-data die was opgeslagen in Ierland vrijgegeven zou worden. De Amerikaanse overheid moest echter het daarvoor in het leven geroepen proces doorlopen toen Microsoft hiertegen in beroep ging in de Verenigde Staten. De rechtbank besloot vervolgens dat de wetgeving waarop de Amerikaanse overheid zich baseerde bij zijn eis, niet voldoende was. Ondanks dat het een onderwerp is waar het laatste woord nog niet over gezegd is, is duidelijk dat ook overheden (uit machtige landen) niet zomaar boven hun eigen wetten staan.

Veel consumenten maken zich enigszins zorgen wanneer ze niet weten waar hun data is opgeslagen en waar die naartoe wordt gestuurd. Je hoort steeds vaker dat grote ondernemingen en overheden toegang eisen tot bepaalde gegevens die in het buitenland zijn opgeslagen. Daarom is heldere wetgeving en regulering erg belangrijk. Dit zorgt ervoor dat klanten er zeker van kunnen zijn dat alleen diegenen die permissie hebben, toegang krijgen tot hun gegevens.

4. Mijn bedrijf versleutelt alle data, daarom zijn wij compliant met security-regels
Het is een mooie aanname dat wanneer een bedrijf besluit al zijn data te versleutelen, het daarom veilig is. Helaas in het gebruik van encryptie alleen niet voldoende. Het moet gezien worden als de minimale standaard terwijl alternatieve technieken eveneens bekeken worden. Steeds meer klanten zijn op de hoogte van data-security en stellen vragen welke maatregelen een bedrijf heeft genomen bovenop het versleutelen van gegevens. Daarom zullen bedrijven hier serieus mee aan de slag moeten gaan. Dit houdt in dat ze moeten kijken naar tweefactor authenticatie en belangrijke managementstrategieën, waardoor de data van hun klanten veilig opgeslagen of eventueel verwijderd kan worden.

“Binnen twee jaar zal de GDPR in werking treden. Daarom is het erg belangrijk dat alle misverstanden waarop bedrijven zich mogelijk baseren uit de wereld worden geholpen. Het kost tijd om een bedrijf GDPR compliant te maken. Veel bedrijven zullen substantiële updates aan hun security- en storage-systemen moeten uitvoeren in relatief korte tijd. Door deze mythes nu zoveel mogelijk in de kiem te smoren, hopen we dat eigenaren van bedrijven goed op de hoogte zullen raken van wat hen te doen staat, bijvoorbeeld op het gebied van security”, zegt Lillian Pang, Senior Director, Legal, Rackspace.