'Bedrijven en CIO’s nog niet voorbereid op nieuwe Europese privacywet'
Vanaf mei 2018 moeten bedrijven voldoen aan de nieuwe Europese privacywet: de General Data Protection Regulation. De GDPR legt organisaties die persoonsgegevens verwerken strenge regels op om burgers te beschermen tegen het verlies of misbruik daarvan. Volgens Michiel Steltman van DINL is nog veel onduidelijk over de praktische invulling van de GDPR. “De Autoriteit Persoonsgegevens (AP) kan zorgen voor meer handreikingen en oplossingen, maar houdt de luiken teveel gesloten.”
DINL staat voor Digitale Infrastructuur Nederland. De stichting zet zich in voor 'een stevige ontwikkeling van de digitale infrastructuur in Nederland”. DINL is de spreekbuis van partijen die de digitale economie faciliteren, zoals datacenters, hostingpartijen en registrars, en wil dat Nederland zich op de kaart zet als internationaal digitaal knooppunt. Volgens directeur Michiel Steltman beseffen maar weinig CIO's en leveranciers en resellers in de ICT-branche dat de GDPR feitelijk al van kracht is. “De nieuwe Europese privacywet wordt pas vanaf 25 mei 2018 actief gehandhaafd, maar is wel degelijk ook nu al in effect. We zitten in een overgangsperiode waarin de Nederlandse privacywetgeving – met onder andere de Meldplicht datalekken die sinds 1 januari 2016 geldig is – door de GDPR al is vervangen.”
Snel innoveren
De GDPR stelt strikte voorwaarden aan bedrijven die persoonlijke informatie van mensen verzamelen en verwerken. Het probleem is volgens Steltman dat bedrijven en organisaties niet meer zoals vroeger allemaal op één en dezelfde manier werken. “Je voelt aan alles dat de makers van de wet uitgingen van één klassieke ICT-metafoor: voorheen was in een bedrijf volstrekt helder wie de baas is over 'de ICT' en dus ook over alle persoonsgegevens. En die persoon moet en kan het allemaal regelen, samen met zijn toeleveranciers en onderaannemers aan wie hij zijn wil kan opleggen, want die werken voor hem.”
Maar voor een modern bedrijf is dat een te eendimensionaal beeld van de werkelijkheid, vindt Steltman. “De nieuwe, online ICT-wereld werkt op basis van wat het 'permissionless innovation paradigma' is gaan heten: snel innoveren door gebruik te maken van wat er al is, zonder toestemming en zonder allerlei dingen te hoeven regelen. Neem Uber; die hebben geen kaarten gedigitaliseerd of een eigen systeem ontwikkeld voor betalingen, berichten of spraak. Ze maken gebruik van de datasets en API’s van anderen zoals Google Maps, en van features en functionaliteiten van mobiele telefoons, die binnen handbereik zijn voor iedereen die wil innoveren.”
Vandaag de dag hebben innovaties niet altijd een basis in een bestaande technologie, maar steeds vaker in bestaande diensten die worden hergebruikt en waarop nieuwe diensten worden 'gestapeld', bedoelt Steltman. “En daar zit het grote probleem: met lang niet alle aanbieders van die diensten heb je als innoverend bedrijf contracten en je kunt die aanbieders al helemaal niet onder jouw regime laten werken. Dat leidt tot onduidelijkheid over verantwoordelijkheden, en tot conflicten. De wet staat niet toe dat iemand data opslaat bij een bedrijf waarvan je niet weet hoe het zit. Dat kan betekenen dat je een audit moet doen bij de betreffende leverancier, of in een datacenter, om aan te kunnen tonen dat er daadwerkelijk veiligheidsmaatregelen zijn getroffen. Heeft zo’n datacenter duizend gebruikers, en gaat iedereen dat doen, dan zitten ze al snel op drie audits per dag – voor auditors die in feite allemaal precies hetzelfde controleren. Prima voor het verdienmodel van auditors en juristen, maar het zijn uitgaven die niet ten goede komen aan de veiligheid zelf. Sommige juristen zeggen zelfs dat bedrijven dan maar helemaal niet naar de cloud moeten gaan. Een goed audit report van het datacenter zelf is in principe voldoende, maar er zijn ook weer juristen die zeggen dat zo'n report niet is bedoeld voor een soort algemeen gebruik, en alleen waarde heeft in de context van een specifiek systeem. Al met al levert het veel gedoe op. De grote vraag is: hoe ben je als bedrijf 'in control' als je gebruik maakt van de faciliteiten van aanbieders (derden) waarover je niet de volledige regie hebt? De juridische interpretaties van de GDPR lopen op dat gebied totaal uiteen.”
Trustmodellen
Daarom 'schreeuwt' de branche volgens Steltman om handreikingen en oplossingen. “De Autoriteit Persoonsgegevens (AP) doet tot nu toe te weinig, omdat ze daar gewoonlijk niet te veel met bedrijven over willen praten omwille van hun onafhankelijke positie als toezichthouder. Onze belangrijkste oproep aan de AP is daarom: gooi de luiken open, kies zorgvuldig je stakeholders en ga met ze in gesprek. Anders kan het voor kleine, innovatieve bedrijven verkeerd uitpakken. In het ergste geval worden door alle onduidelijkheid partijen afgeserveerd, terwijl ze hun security wel degelijk op orde hebben.” Steltman ziet oplossingen ontstaan zoals zogeheten 'trustmodellen'. “Waar we naartoe willen: als een bedrijf een dienstverlener kiest waar persoonsgegevens terecht komen en hij kan redelijkerwijs vaststellen dat die partij de informatieveiligheid en andere zaken die nodig zijn voor de GDPR op orde heeft, dan moet hem niks verweten kunnen worden. Hij heeft dan een zorgvuldige keuze gemaakt. We willen daarvoor een systematiek die vergelijkbaarheid verbetert, en die toelaat dat audit-verklaringen op elkaar aan kunnen sluiten en herbruikbaar zijn. Er zitten veel haken en ogen aan en er is ook veel werk aan de winkel voor auditors, maar de behoefte aan duidelijkheid en eenvoud is daar groot genoeg voor.”
Steltman heeft dit verhaal neergelegd bij de AP en het ministerie van Economische Zaken. Dat heeft geresulteerd in het project “Partnering Trust”, dat uitgevoerd wordt door het ECP, een neutraal platform van bedrijfsleven, overheid en maatschappelijke organisaties dat versterking van ICT in de Nederlandse samenleving stimuleert. In opdracht van het ministerie formuleerde de ECP al uniforme eisen aan de veiligheid en betrouwbaarheid van (online) ICT-diensten, en er werd in 2016 een security baseline ontwikkeld voor cloud providers en hosting bedrijven. Bij het initiatief Zeker-Online, een keurmerk van- en voor de aanbieders van online boekhoudsystemen, zijn herbruikbare deelcertificeringen op basis van die baseline ontwikkeld. In Europees verband is de samenwerking gevonden met vergelijkbare Publiek-private initiatieven in Duitsland en Frankrijk.
“Voor nu zou ik tegen alle ICT-bedrijven die persoonsgegevens voor hun klanten verwerken alvast willen zeggen: neem de regie en laat je niet teveel sturen door je klanten. Maak zelf duidelijke verwerkersovereenkomsten”, besluit Steltman. “Of maak ze onderdeel van je standaard leveringsvoorwaarden. Zorg dat die passen op jouw dienst en waar mogelijk aansluiten bij algemene modellen. Houd bijvoorbeeld vast aan de modellen van Nederland ICT of DHPA. Zorg ook dat je compliance en security aantoonbaar op orde zijn met een security-boekhouding of een audit report. Dat klanten zien dat je in control bent. Voor de verwerkingsverantwoordelijke: zorg dat iemand de regie heeft over de privacy- en gegevensbescherming in je bedrijf, want de AP gaat er echt op letten dat iemand aanspreekbaar is voor deze materie.”