Wat is de impact van de General Data Protection Regulation op de IT-processen van een internationale onderneming?

Kevin Bollengier
We leven in een digitaliserende en snel evoluerende wereld op vlak van informatica. Bij digitalisering behoren natuurlijk veel data waaronder ook persoonlijke data.
Voor het ontstaan van GDPR had elke lidstaat van de Europese Unie reeds richtlijnen en wetgeving inzake databescherming, maar deze kon per lidstaat verschillen. GDPR vervangt deze richtlijnen om ze te uniformiseren voor alle lidstaten van de Europese Unie. Ook zorgt GDPR er nu voor dat meer soorten data als persoonlijke data gezien worden. Elk bedrijf dat klantendata verwerkt en bijhoudt van Europese burgers is onderworpen aan de GDPR.
Het doel van mijn onderzoek is bekijken welke impact de GDPR heeft op verschillende vakgebieden binnen informatica zoals security, privacy en big data. Een ander doel van het onderzoek is bekijken hoe de totstandkoming van compliance aan de GDPR binnen een onderneming aangepakt dient te worden.

Horen, zien, zwijgen en vergeten: De GDPR-verordening

GDPR EU

Al gehoord van de nieuwe Europese privacy wetgeving? Weet u hoe uw gegevens gebruikt worden door ondernemingen? Weet u welke rechten u heeft over uw gegevens? Werd uw mailbox vol gebombardeerd over de General Data Protection Regulation?

Voor veel bedrijven stond er op 25 mei 2018 een grote rode cirkel op de kalender. Dit was namelijk de start van een nieuw tijdperk omtrent privacy en bescherming van de persoonlijke levensfeer. De nieuwe Europese regelgeving inzake privacy en het beschermen van persoonsgegevens ging namelijk van kracht. Nu is het zo dat er nog heel wat onduidelijkheden en misverstanden zijn over dit onderwerp. Daarnaast was er een grote hype over het onderwerp, maar hoe zit het met onze privacy in de toekomst?

Waarom een nieuwe wetgeving?

Ongetwijfeld heeft u ze ook ontvangen, de bekende emails om toestemming te geven zodat bedrijven u nog verder kunnen contacteren. Toestemming voor het plaatsen van cookies, kleine tekstbestandjes, op uw computer, meldingen dat het privacybeleid aangepast werd enzovoorts. Mensen die zich niet bewust zijn van de nieuwe wetgeving vragen zich af waarom bedrijven plots nu die extra moeite te doen om toch aan te tonen dat privacy belangrijk is.
Het is nu eenmaal een feit dat we leven in een zeer snel digitaliserende wereld en de oude privacy wetgeving, Data Protection Directive , was niet aangepast aan de nieuwe standaarden die digitalisering met zich meebrengt. Daarnaast was er ook geen algemene wetgeving op Europees niveau. Hierdoor kon de wetgeving per lidstaat behoorlijk tot zeer veel verschillen ten op zichte van elkaar. Er was dan ook nood aan een nieuwe wetgeving om personen en hun privacy beter te gaan beschermen. Maar ook om een algemeen kader aan te bieden zodat de nationale wetgevingen beter op elkaar ingestemd konden worden.

De grote nieuwigheden in de wetgeving

De vernieuwde wetgeving is eigenlijk niet zo zo nieuw als de meeste bedrijven denken. Grote principes uit de Data Protection Directive keren namelijk terug in de GDPR-verordening. De grote vernieuwingen zitten hem voornamelijk dat bedrijven nu zelf hun conformiteit aan de wetgeving moeten bewijzen, dat je in bepaald gevallen een Functionaris voor Gegevensbescherming ook wel Data Protection Officer genaamd moet aanstellen. Daarnaast krijgen betrokken personen ook een nieuw recht tot hun beschikking, namelijk het recht op gegevensoverdraagbaarheid.

Alle aandacht op GDPR, op korte termijn

De conclusie en uitkomst van de verandering zal op korte termijn heel wat teweeg brengen. Dit komt jammer genoeg niet door een plotse mentaliteitswijziging maar door de mogelijkheid van hoge boetes. Om de GDPR kracht bij woord te stellen moet er effectief een streng beleid gevoerd worden om inbreuken te vermijden. Jammer genoeg zijn nog niet alle gegevensbeschermingsautoriteiten klaar en bestaat de mogelijkheid dat GDPR even snel weer vergeten zal worden als het oude directive. Want reeds nu, zijn sommige bedrijven al de regels van de nieuwe wetgeving aan hun laars aan het lappen.

Bibliografie

Art. 2 GDPR – Material scope

https://gdpr-info.eu/art-2-gdpr/

Art. 3 GDPR – Territorial scope

https://gdpr-info.eu/art-3-gdpr/

Art. 4 GDPR – Definitions

https://gdpr-info.eu/art-4-gdpr/

Art. 5 GDPR – Principles relating to processing of personal data

https://gdpr-info.eu/art-5-gdpr/

Art. 6 GDPR – Lawfulness of processing

https://gdpr-info.eu/art-6-gdpr/

Art. 7 GDPR – Conditions for consent

https://gdpr-info.eu/art-7-gdpr/

Art. 9 GDPR – Processing of special categories of personal data

https://gdpr-info.eu/art-9-gdpr/

Art.15 GDPR – Right of access by the data subject

https://gdpr-info.eu/art-15-gdpr/

Art.16 GDPR – Right to rectification

https://gdpr-info.eu/art-16-gdpr/

Art.17 GDPR – Right to erasure (‘right to be forgotten’)

https://gdpr-info.eu/art-17-gdpr/

Art.19 GDPR – Notification obligation regarding rectification or erasure of personal data or restriction of processing

https://gdpr-info.eu/art-18-gdpr/

Art.20 GDPR – Right to data portability

https://gdpr-info.eu/art-20-gdpr/

Art.21 GDPR – Right to object

https://gdpr-info.eu/art-21-gdpr/

Art.22 GDPR – Automated individual decision-making, including profiling

https://gdpr-info.eu/art-22-gdpr/

Personal Data Breach Severity Assessment Methodology

https://www.enisa.europa.eu/activities/identity-and-trust/library/deliv…

Whitecase chapter 9: Rights of data subjects – Unlocking the EU General Data Protection Regulation

https://www.whitecase.com/publications/article/chapter-9-rights-data-su…

Guide to GDPR – Lawful basis for processing

https://ico.org.uk/for-organisations/guide-to-the-general-data-protecti…

Data controllers and data processors

https://ico.org.uk/media/for-organisations/documents/1546/data-controll…

Art.26 GDPR – Joint controllers

https://gdpr-info.eu/art-26-gdpr/

Art.28 GDPR – Processor

https://gdpr-info.eu/art-28-gdpr/

Art.30 GDPR – Records of processing activities

https://gdpr-info.eu/art-30-gdpr/

Art.33 GDPR – Notification of a personal data breach to the supervisory authority

https://gdpr-info.eu/art-33-gdpr/

Art.34 GDPR – Communication of a personal data breach to the data subject

https://gdpr-info.eu/art-34-gdpr/

Pseudonymizing vs anonymization

 http://www.protegrity.com/pseudonymization-vs-anonymization-help-gdpr/

Guide to GDPR ICO

https://ico.org.uk/for-organisations/guide-to-the-general-data-protecti…

I-scoop.eu – Right to data portability

Retrieved 13/05/2018 https://www.i-scoop.eu/gdpr/right-to-data-portability/

Case Target Corporation

https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-…

Case bankieren

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-c…

Case Google – Right to be forgotten

https://www.theguardian.com/technology/2018/feb/27/right-to-be-forgotte…

https://www.theguardian.com/technology/2018/mar/12/right-to-be-forgotte…

https://www.theguardian.com/technology/2018/apr/13/google-loses-right-t…

https://www.judiciary.gov.uk/wp-content/uploads/2018/04/nt1-nt2-v-googl…

Case Facebook – Cambridge Analytica

http://www.bbc.com/news/technology-43465968

https://www.theguardian.com/technology/2018/apr/04/facebook-cambridge-a…

Case Yahoo

https://www.theverge.com/2018/4/24/17275994/yahoo-sec-fine-2014-data-br…

https://www.nytimes.com/2016/09/23/technology/yahoo-hackers.html

https://www.reuters.com/article/us-altaba-cyber-yahoo/u-s-regulator-fin…

CNIL PIA software

https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-pr…

Universiteit of Hogeschool
Toegepaste informatica: Computer & Cybercrime Professional
Publicatiejaar
2018
Promotor(en)
Koen Cornelis
Kernwoorden