GDPR, AVG en het belang van Nederlandse datacenters

Thomas de Jong | 07 augustus 2017

Update – 31 mei 2018: Hopelijk is het je gelukt om te voldoen aan de nieuwe privacywetgeving. We hebben dit artikel geüpdatet met een checklist die je kunt gebruiken om te zien of je toekomstige cloudhoster aan de GDPR voldoet. Ga direct naar de checklist. Ook hebben we wat nieuwe tips toegevoegd die belangrijk zijn als je wilt voldoen aan de AVG.

Vanaf 25 mei 2018 geldt er nieuwe privacywetgeving in de Europese Unie, de GDPR. Dat heeft behoorlijk wat gevolgen voor alle bedrijven die zaken doen in Europa en persoonsgegevens verwerken. Het is bijvoorbeeld niet meer toegestaan om gegevens van Europese gebruikers zomaar buiten de EU op te slaan.

In dit artikel vertel ik je meer over de nieuwe wetgeving en de gevolgen ervan. En ik geef je wat tips om een boete van €20.000.000,- te voorkomen.

Wat is de GDPR?
GDPR staat voor General Data Protection Regulation. De Nederlandse term is Algemene Verordening Gegevensbescherming (AVG). De GDPR vervangt alle privacywetgeving die de Europese lidstaten hadden. De Nederlandse Wet bescherming persoonsgegevens vervalt dus. Dat is nodig, omdat veel privacywetgeving achterhaald is en er behoefte is aan 1 duidelijke richtlijn voor de hele Europese Unie.

De meeste privacywetgeving in de EU stamt uit het begin van de jaren 90. Bedrijven waren zich nog niet zo bewust van de waarde van persoonlijke gegevens, en consumenten al helemaal niet. Daarom boden simpele richtlijnen meestal al voldoende bescherming.

Inmiddels is de waarde van persoonlijke gegevens enorm gestegen. Een belangrijke reden daarvoor is de opkomst van het internet. We doen steeds meer online, en laten dus ook steeds meer persoonlijke gegevens slingeren. Ook voor bedrijven wordt het belangrijker om te ontdekken wie hun klanten zijn, dus wordt er meer data verzameld. Dat is inmiddels al zo sterk toegenomen, dat er een hele nieuwe bedrijfstak door is ontstaan: Big Data. Daar heb ik eerder al eens over geschreven.

Terug naar de GDPR. Omdat de waarde van privacygevoelige informatie zo sterk is gestegen, moet het beter beschermd worden. Het is ook een onderwerp dat consumenten bezighoudt, of waar ze zich in ieder geval bewust van zijn. Om het voor bedrijven makkelijker te maken, is ervoor gekozen om op Europees niveau wetgeving te bedenken. Zo hoef je niet in elke lidstaat weer aan andere eisen te voldoen.

GDPR voor consumenten
De Europese Unie wil haar inwoners meer controle geven over hoe hun persoonlijke data wordt gebruikt. Bedrijven als Google en Facebook bieden bijvoorbeeld ‘gratis’ diensten aan, maar alleen in ruil voor een hele hoop gevoelige data. Door de nieuwe wetgeving hoopt de EU het vertrouwen in de opkomende digitale economie te verbeteren.

Je krijgt als consument dus meer te zeggen over de verwerking van je persoonsgegevens. Dat gaat op de volgende manieren:

Het recht om vergeten te worden
Als een klant daarom vraagt, ben je verplicht alle persoonlijke gegevens te verwijderen. Dat geldt ook voor bedrijven aan wie jij die data beschikbaar hebt gesteld.

Duidelijke toestemming voor verwerking
Consumenten moeten expliciet toestemming geven voor de verwerking van hun persoonsgegevens. Het moet duidelijk zijn welke gegevens verzameld worden en waar ze voor gebruikt worden. Een vooraf ingevulde checkbox geldt dus niet als expliciete toestemming. Consumenten krijgen ook het recht om gegeven toestemming eenvoudig weer in te trekken.

‘Verhuisrecht’
Eigenlijk noemt de EU dit dataportabiliteit, maar ik vind verhuisrecht duidelijker. Het komt er in ieder geval op neer dat consumenten hun verwerkte persoonsgegevens makkelijk moeten kunnen opvragen en verhuizen. Bijvoorbeeld van de ene naar de andere e-mailprovider.

Geen kleine lettertjes meer
Bedrijven moeten helder en duidelijker communiceren over de manier waarop ze persoonsgegevens verwerken. Geen vaag taalgebruik en kleine lettertjes meer.

Meldplicht bij datalek
Bedrijven zijn verplicht om eventuele datalekken openbaar te maken.

Profileren aan de hand van persoonsgegevens
Bedrijven maken profielen aan op basis van de data die ze hebben. Dit wordt aan banden gelegd, zodat het alleen gebeurt met toestemming en het rechtmatig is. Of als het nodig is om aan contracteisen te voldoen. Het mag niet leiden tot discriminatie, in welke vorm dan ook.

Speciale bescherming voor kinderen
Omdat kinderen onvoldoende besef hebben van de waarde van hun persoonsgegevens, worden ze in de nieuwe wet extra beschermd.

GDPR voor bedrijven
Er verandert natuurlijk ook nogal wat voor bedrijven. Je krijgt vooral meer verplichtingen, omdat er in de GDPR meer verantwoordelijkheid bij bedrijven zelf ligt. Als eerste heeft een bedrijf een verantwoordingsplicht. Je moet met documenten kunnen aantonen dat je voldoet aan de eisen van de nieuwe wet. Voor sommige bedrijven is het ook verplicht om een Privacy Impact Assessment (PIA) uit te voeren, en mogelijk moet je een functionaris voor de gegevensbescherming aanstellen.

Vanaf 25 mei 2018 wordt er gehandhaafd op de nieuwe wet. Dat betekent dat je vanaf dan boetes kunt krijgen van maximaal €20 miljoen, of 4% van de wereldwijde jaaromzet. Geen misselijke bedragen, al zal het niet direct zo’n vaart lopen.

De nieuwe wetgeving heeft ook een aantal voordelen voor bedrijven:

One-stop-shop
Omdat de regelgeving voor de complete EU geldt, hebben bedrijven met nog maar 1 toezichthouder te maken, in plaats van 28. Dit maakt het makkelijker en goedkoper voor bedrijven om zaken te doen in de EU. Tegelijkertijd heeft dit ook invloed op het toezicht op internetreuzen, met kantoren in meerdere EU-landen.

Voor alle bedrijven die Europese klanten hebben
Het maakt niet uit of je bedrijf gevestigd is in of buiten de EU: als je met Europese klanten werkt, moet je je houden aan de nieuwe privacywetgeving. Dit zorgt voor eerlijkere concurrentie binnen de EU.

Makkelijker voor kleine en middelgrote bedrijven
Het wordt makkelijker voor kleine en middelgrote bedrijven om nieuwe markten aan te boren. Dat komt omdat je als bedrijf nog maar aan 1 set van regels hoeft te voldoen, in plaats van 28. De GDPR is flexibel genoeg om maatwerkoplossingen te bieden aan kleinere bedrijven, om bureaucratie en onevenredige investeringen te voorkomen.

Waarom Nederlandse datacenters belangrijk zijn
Onder de nieuwe regelgeving krijgen (cloud)hosters meer verantwoordelijkheid op het gebied van databescherming. De plicht om persoonsgegevens goed te beschermen ligt dus niet langer alleen bij de eigenaar van de data. Dat betekent dat je goed moet weten hoe je cloudhoster zijn zaakjes geregeld heeft. Voldoen ze aan alle eisen die de GDPR stelt, en kunnen ze dat ook laten zien?

Een van de belangrijkste zaken waar je op moet letten bij de keuze voor een cloudhoster, is de locatie van de datacenters die ze gebruiken. Zolang ze op Europees grondgebied staan, heb je het minste gedoe. Dat komt omdat er een hoop extra regels zijn waar je aan moet voldoen als je persoonsgegevens buiten de EU op wilt slaan. En heb je goede afspraken gemaakt over het verplaatsen van je data? Misschien heeft jouw cloudhoster wel een goedkope server in Amerika, waar hij af en toe wat data opslaat.

Het is belangrijk om duidelijke afspraken te maken met je hoster over de locatie van je gegevens. Onze beide datacenters staan in de provincie Groningen, dus weet je zeker dat je data de EU nooit zal verlaten. Wel zo’n fijn gevoel. Daarnaast maken we graag goede afspraken met je, om ervoor te zorgen dat je geen problemen krijgt zodra de GDPR gehandhaafd wordt.

Hoe bereid ik me voor?
Om je goed voor te bereiden op de komst van de GDPR, moet je in ieder geval een aantal zaken onderzoeken. Zo voorkom je een boete van €20.000.000,- of meer.

Verschillende soorten persoonsgegevens
Voordat je ook maar iets doet, moet je weten welke soorten persoonsgegevens je bedrijf verwerkt. Verzamel je namen, e-mailadressen of bankrekeningnummers? En valt die informatie onder zogenaamde ‘gevoelige’ informatie, zoals iemands medische geschiedenis? Zorg dat je weet welke bronnen je hebt, waar en hoe lang ze opgeslagen worden en hoe je ze gebruikt.

Begrijpelijke privacyverklaring
Privacyverklaringen staan vaak bol van juridisch taalgebruik. In de AVG staat dat dit niet meer mag: je klanten moeten zonder al te veel moeite kunnen zien hoe je hun gegevens verwerkt. Zorg daarom voor een heldere privacyverklaring, waarin de wettelijke basis voor de verwerking van persoonsgegevens wordt uitgelegd.

Bereid je voor op lastige vragen…
Je klanten hebben het recht om hun gegevens in te zien, te corrigeren, bezwaar te maken tegen de verwerking ervan en zelfs om alles te laten verwijderen. Je bent wettelijk verplicht hier gehoor aan te geven, binnen een vastgestelde termijn.

Specifieke toestemming vragen
Je klanten moeten nadrukkelijk toestemming geven om op een mailinglijst te komen, en ze moeten controle hebben over hoe je hun gegevens gebruikt. Volgens de AVG moet dat op een manier die losstaat van alle andere voorwaarden. Daarnaast moet het ook een positieve opt-in zijn. Dat wil zeggen dat je gebruikers ‘Ja’ moeten aanvinken op de vraag of ze je nieuwsbrief willen ontvangen en of je hun gegevens mag verwerken. Het moet ook duidelijk zijn hoe ze hun toestemming weer kunnen intrekken.

Checklist bij het kiezen van een AVG-proof cloudhoster
Het gebruik van de cloud neemt nog steeds snel toe. Volgens 451 Research is 60% van de enterprises in Amerika van plan in 2019 volledig over te stappen op cloudhosting. In Europa en Nederland zien we vergelijkbare cijfers. Ook kleinere bedrijven maken steeds meer gebruik van de cloud: naar schatting gebruikte een bedrijf in het MKB in 2017 gemiddeld 7 cloud-applicaties.

Het is niet eenvoudig om een cloudhoster te kiezen die je helpt te voldoen aan de AVG. Let bij het kiezen van een cloudhoster daarom op de volgende 4 punten.

Hoe wordt de data versleuteld?
1 van de aanbevelingen in de AVG zegt dat bedrijven encryptie moeten gebruiken om persoonsgegevens te beschermen. Zo voorkom je problemen als er onverhoopt toch eens persoonsgegevens lekken. Zolang ze namelijk goed versleuteld zijn, kan niemand er iets mee.

Er staan geen specifieke eisen over de versleuteling in de AVG. Zogenaamde end-to-end-versleuteling is de meest veilige optie. Hierbij worden de beveiligingssleutels alleen opgeslagen bij de gebruiker en zijn ze nooit zichtbaar voor de cloudhoster. Op deze manier is in het geval van een datalek praktisch onmogelijk om de versleutelde gegevens te herleiden naar personen. Daarnaast moet de cloudhoster bij voorkeur gebruikmaken van standaardalgoritmes als AES-256.

Welke beveiligingsmaatregelen neem de cloudhoster verder nog?
Het is belangrijk dat je cloudhoster je accountbeveiliging net zo belangrijk vindt als jij. Ideaal gezien zijn de inloggegevens van je cloudomgeving zo beveiligd dat je cloudprovider geen enkele kennis heeft van je wachtwoord. Mocht er dan iets misgaan bij je cloudhoster, bijvoorbeeld een hack of een fout van een medewerker, dan zijn je inloggegevens nog veilig. Daarnaast wil je het liefst dat je cloudhoster gebruikmaakt van multi-step-authentication. Hierbij heb je niet alleen een wachtwoord, maar krijg je bijvoorbeeld ook nog een code op je smartphone toegestuurd.

De meeste datalekken ontstaan door je medewerkers. Daarom is het interessant om te zien of je cloudhoster mogelijkheden biedt om op gebruikersniveau terug te zien wat er met je data gebeurt. En je wilt gebruikersrollen zo specifiek mogelijk kunnen toewijzen, zodat je medewerkers alleen zien wat ze mogen zien.

Is je cloudhoster transparant genoeg over de locatie en bescherming van je data?
De AVG eist dat persoonlijke data rechtmatig, eerlijk en op een transparante manier verwerkt moet worden. Dat geldt niet alleen voor jouw bedrijf, maar ook voor de cloudhoster waarmee je wilt samenwerken. Daarom is het belangrijk dat je een cloudhoster kiest die duidelijkheid geeft over de manier waarop je data verwerkt wordt.

Een ander belangrijk aspect dat we eerder al hebben genoemd, is de locatie waar je data opgeslagen wordt. Het is namelijk een stuk eenvoudiger te voldoen aan de eisen in de AVG als je cloudhoster gebruikmaakt van servers in de EU.

Laat de cloudhoster zien dat hij voldoet aan de AVG?
Als je zoekt naar een cloudprovider die voldoet aan de eisen in de AVG, kun je dat het beste onderzoeken aan de hand van een aantal juridische documenten. Denk aan de privacyverklaring, de gebruikersvoorwaarden en een eventuele verwerkingsovereenkomst die je tekent als je met elkaar in zee gaat. Deze documenten moeten in begrijpelijk Nederlands opgeschreven zijn en er moet uit naar voren komen hoe de cloudhoster met de AVG-eisen omgaat. Kun je deze documenten niet vinden en levert de cloudhoster ze ook niet als je ernaar vraagt? Dan moeten alle alarmbellen bij je gaan rinkelen!

Tot slot
De komst van de GDPR heeft nogal wat voeten in aarde. Door dit artikel weet je wat de wet inhoudt en wat de gevolgen zijn. Ook weet je waar je moet beginnen met je voorbereiding. Vergeet de keuze voor de juiste cloudhoster niet! En begin vooral niet te laat met onderzoeken naar wat er moet gebeuren, want voordat je het weet is het 25 mei 2018.

(Coverfoto is van Matthew Henry)