Redactie - 13 november 2017

Get (C)Loud! event maakt de tongen los over de GDPR

Get (C)Loud! event maakt de tongen los over de GDPR image

Tijdens de laatste Get (C)Loud! eind oktober in De Landgoederij te Bunnik ging het over de  General Data Protection Regulation of GDPR, de nieuwe Europese privacyverordening die bij ons het etiket Algemene Verordening Gegevensbescherming (AVG) heeft gekregen. Een ‘hot topic’ voor steeds meer bedrijven, maar zéker voor ISV’s en SaaS-leveranciers, dé doelgroep van het door managed cloud provider Dutch Cloud geëntameerde tweejaarlijkse Get (C)Loud!-discussiespektakel.

Wat de GDPR/AVG (vanaf hier AVG genoemd) in grote lijnen inhoudt en wat de belangrijkste veranderingen zijn ten opzichte van de huidige Wbp (Wet bescherming persoonsgegevens), werd in de keynote van het evenement op uitstekende wijze uit de doeken gedaan door Vonne Laan, advocaat bij Van Doorne Advocaten. Laan is advocaat privacyrecht; bij uitstek het type specialist dat je nodig hebt om de AVG nader toe te lichten. En dat is hard nodig ook, want vrijwel elk bedrijf zal op een of andere manier door de AVG worden geraakt en zich er dus op moeten voorbereiden. Voor veel bedrijven wordt dat nog een nijpende aangelegenheid, want het uur U – 25 mei 2018, het moment waarop de AVG (officieel al ingevoerd op25 mei 2016!) daadwerkelijk gehandhaafd gaat worden – nadert met rasse schreden.

Kernbegrippen

Een fatsoenlijke discussie over de AVG is niet te voeren  zonder de belangrijkste kernbegrippen daaruit eerst te specificeren. Dat is dan ook waarmee Laan haar presentatie begint en een stap die we ook in deze korte impressie onmogelijk kunnen overslaan. Tot die centrale kernbegrippen behoren de concepten ‘persoonsgegevens’, ‘bijzondere persoonsgegevens’, en ‘verwerken van persoonsgegevens’, alsmede de termen ‘verantwoordelijke’, ‘verwerker’ en ‘betrokkene’ voor de in dit kader meest relevante partijen.

Persoonsgegevens

Waar het in de AVG allemaal mee begint zijn natuurlijk de persoonsgegevens. Een persoonsgegeven is elk gegeven over een levende persoon dat direct of indirect identificerend is. Dat zijn zaken als naam, adres en kenteken, maar Laan waarschuwt dat de categorie breder is dan menigeen denkt, want ook zaken als bijvoorbeeld haarkleur en locatiegegevens kunnen als persoonsgegeven worden aangemerkt. Een aparte groep supergevoelige persoonsgegevens (waarvoor dan ook extra strenge regels gelden) is de categorie ‘bijzondere persoonsgegevens’ waaronder gegevens vallen die bijvoorbeeld iets zeggen over iemands godsdienst, levensovertuiging, ras, gezondheid, seksuele leven of strafrechtelijk verleden.

Bij de bepaling of iets een persoonsgegeven is of niet ziet Laan het in de praktijk vooral vaak misgaan als gegevens versleuteld zijn. Men denkt dan veelal dat ze daarmee tevens zijn geanonimiseerd en daarom niet meer als persoonsgegevens hoeven te worden aangemerkt. Maar die vlieger gaat niet op, zegt Laan, want de lat voor anonimiseren ligt in de AVG erg hoog. “Daar kom je in de praktijk niet snel overheen. Zelfs ‘hashing’ van gegevens helpt hier niet.”

Verwerken van persoonsgegevens

Het concept ‘verwerken ’ in de AVG betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. En ook dat wordt weer heel breed geïnterpreteerd door de wetgever, getuige de waslijst aan activiteiten die Laan opsomt, zoals onder meer: vastleggen, ordenen, bewaren, bijwerken, wijzigen en met elkaar in verband brengen. “Maar ook handelingen als anonimiseren en wissen van persoonsgegevens zijn activiteiten die allemaal als ‘verwerken van’ worden beschouwd.”

Relevante partijen

Dan tot slot de meest relevante partijen. Daarbij gaat het bij ‘de verantwoordelijke’ om de (rechts)persoon die (alleen of samen met anderen) het initiatief neemt tot de verwerking van de persoonsgegevens; dat wil zeggen: doel en middelen vaststelt. Bij ‘de verwerker’ gaat het om de partij die in opdracht van de verantwoordelijke de gegevens verwerkt zónder rechtstreeks aan diens gezag onderworpen te zijn. Terwijl  ‘de betrokkene’ degene is wiens gegevens worden verwerkt.

AVG versus Wbp

De discussie in de zaal komt écht op gang als Laan een paar belangrijke verschillen tussen de bestaande Wbp en de nieuwe AVG in kaart heeft gebracht. Zo wordt de zogeheten Meldplicht die we terugvinden in de Wbp, vervangen door een Documentatieplicht. Onder de Wbp moet de verantwoordelijke alle bewerkingen die hij betreffende persoonsgegevens verricht, melden bij de Autoriteit Persoonsgegevens (AP). Dat was bij wijzigingen daarin vaak een heel gedoe, zegt Laan. Onder de AVG laat men die meldplicht vervallen en komt  er een documentatieplicht. Dat betekent wel dat verantwoordelijken nu zélf in een register moeten bijhouden wat er qua verwerking van persoonsgegevens zoal gebeurt. Bovendien geldt die documentatieplicht nu niet alleen voor hen, maar ook voor de verwerkers. En dat is een grote verandering, stelt Laan.

Wie verantwoordelijk voor wat?

Bovendien komt er ook nog op een andere manier meer verantwoordelijkheid op het bordje van de verwerker terecht. Want door wat de verwerker vervolgens doet met de gegevens die hij van de verantwoordelijke krijgt toegeschoven, zal hij onder de AVG nu óók zelf in veel gevallen als (mede)verantwoordelijke worden aangemerkt. Vooral dat laatste punt bevalt veel verwerkers in de zaal maar matig en levert veel stof tot discussie en debat.

Temme Sikkema, security officer bij organisator Dutch Cloud, legt Laan een dilemma voor waarmee niet alleen hij worstelt maar ook veel andere aanwezige cloudproviders in de zaal. In de kern komt het erop neer dat menig cloudprovider gegevens voor zijn klanten verwerkt, terwijl die verwerking totaal aan zijn blik onttrokken wordt. Of zoals Sikkema het formuleert: “ Ik bied een platform waarop klanten ‘on the fly’ Virtual Machines kunnen aanmaken. Een klant neemt vervolgens tien van die VM’s bij mij af, waarop hij honderdduizend patiëntendossiers onderbrengt. Ben ik voor die data dan eigenlijk nog wel een verwerker? En zo ja hoe voldoe ik dan aan mijn documentatieplicht?

Ook Laan heeft hier geen pasklaar antwoord op. Dat hangt van de specifieke situatie af, zegt ze. Indien jullie echt geen toegang hebben tot die gegevens, dan zijn jullie daarvoor ook geen verwerker. Dus dan hoef je niet te voldoen aan die documentatieplicht. Voor zover je wel op een of andere manier die gegevens verwerkt, omdat jouw systemen nu eenmaal zo in elkaar steken dat ze bijvoorbeeld automatisch registreren wat voor gegevens er doorheen gaan, dan kun je bijvoorbeeld afspreken dat die klant in een register versleuteld bijhoudt wat voor verwerkershandelingen er worden gedaan, en dat dat register alleen wordt opengemaakt indien de toezichthouder ter controle bij jullie aan de deur klopt.

Afsluitende paneldiscussie

Bovenstaande situatiebeschrijving laat goed zien dat de nieuwe AVG meer overhoop haalt dan velen soms denken. Iets dat ook blijkt uit de afsluitende paneldiscussie tussen Michiel Steltman, directeur van Stichting DINL, Temme Sikkema, security officer bij Dutch Cloud en Erik Westhovens, chief strategy & innovation officer bij Clevir Solutions. Een discussie professioneel geleid door Get (C)Loud’s vaste moderator Ruud de Joode. Een vraag van zijn kant die de tongen flink los maakt, luidt: wie moet er als het gaat om het verantwoordelijkheidsvraagstuk nu eigenlijk ‘in de lead’ zijn, de klant of de dienstverlenende cloudpartij?

Steltman geeft onder meer aan dat hij van mening is dat de wetgever te weinig oog heeft gehad voor de verwerkingssector, lees: de dienstverleners in de cloud. Daaraan moet het een en ander worden gerepareerd, vindt hij. “Het kan niet zo zijn dat de klant maar alles kan bepalen en er een soort master-slave relatie ontstaat tussen opdrachtgever en verwerker. Bovendien ontbreekt het bij de klant, vooral als het kleinere partijen betreft aan kennis op gebied van security en privacywetgeving. In die zin is die nieuwe opkomende wetgeving ook een businesscase, zegt hij. “De klant heeft behoefte aan educatie.”

Sikkema wijst erop dat wie ‘in de lead’ is, ook heeft te maken met de grootte van partijen. En wie is precies de klant, merkt hij op, het is tenslotte een keten van verantwoordelijkheden. “Onze klant is veelal een ISV, maar die ISV levert weer een dienst aan een of ander groot concern. Dan krijg je soms dat zo’n ISV met een pak papier aan komt zetten van het concern dat hij bedient en zegt: ik moet dit nu tekenen, dus jij moet dit nu ook tekenen. Dat is wat er gebeurt. En dan hangt het van je onderhandelingscapaciteiten af, hoe je met elkaar in zee gaat.”

Martijn van Zoeren, CEO van Dutch Cloud onderschrijft dat: “Die compliance-manager was vroeger het beste jongetje van de klas, maar moet nu veel meer een commercieel handige man of vrouw zijn die het gesprek met de klant hierover heel goed kan voeren. Wat kun je krijgen, wat ga je daarvoor betalen, et cetera. Dat is de verandering die je zich ziet voltrekken en dat is inderdaad een businesscase die kansen biedt voor cloudproviders. Daar ontstaat een nieuwe markt.”

Ruud de Joode vat samen: “Dus de cloudprovider trekt aan de ene kant aan het kortste eind, want die AVG die is er al en daar is op zich weinig aan te veranderen. Maar de AVG biedt hem aan de andere kant ook mogelijkheden en kansen voor nieuwe business.” Het is een constatering waarmee de zaal goed gemutst aan de traditioneel afsluitende borrel met bitterballen kan beginnen.

Door: Dick Schievels

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024