De zware last voor gegevensbeheerders

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische directeuren en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

De AVG richt zich op de verantwoordingsplicht van belanghebbenden. In tegenstelling tot de richtlijn uit 1995 (de eerste belangrijke Europese tekst inzake gegevensbescherming) vereist deze geen voorafgaande toestemming of verklaring. Dit is een slimme zet van de ontwerpers: het ontbreken van voorafgaande controle draagt bij aan de acceptabele inspanningen die nodig zijn om aan de nieuwe regels te voldoen.

Zoals we hebben gezien, identificeert de AVG in elke structuur een "verwerkingsverantwoordelijke", die verantwoordelijk is voor het waarborgen van de vereiste naleving en vervolgens voor het waarborgen van de correcte werking van de gegevensverwerking. De taken van deze verwerkingsverantwoordelijke zijn belastend: zij moeten niet alleen de passende maatregelen treffen, maar ook kunnen "aantonen" dat de verwerking plaatsvindt in overeenstemming met de verordening (art. 24-1). Dit is geen verplichting, maar een verwijzing naar een gedragscode (art. 40) of certificering (art. 42) die door de toezichthoudende autoriteiten wordt aanbevolen, kan de vereiste bewijsvoering vergemakkelijken.

Het leidende principe van de verwerkingsverantwoordelijke is eenvoudig: gebruik persoonsgegevens zo min mogelijk. Artikel 25 beveelt daarom "pseudonimisering" en "minimalisatie" aan, die hierboven al werden genoemd. Het voegt daaraan het principe van gegevensbescherming bij standaardinstellingen toe: "De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat bij standaardinstellingen alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking" (art. 25-2). In tegenstelling tot de huidige praktijk, waar alles wordt "genomen" tenzij uitdrukkelijk anders vermeld, mag nu alleen worden gebruikt wat strikt noodzakelijk is om het beoogde doel te bereiken. Bescherming bij standaardinstellingen lijkt in zekere zin, op het moment van verwerking, een aanvulling te vormen op gegevensminimalisatie bij het verzamelen.

Twee professionals kunnen gezamenlijk verantwoordelijk zijn voor de verwerking; in dat geval is de rol van elk van hen nauwkeurig omschreven en onder de aandacht van de betrokkene gebracht (art. 26). Wanneer de verwerkingsverantwoordelijke(n) niet in de Europese Unie is/zijn gevestigd, wijst/wijzen zij een vertegenwoordiger aan die in een van de lidstaten is gevestigd en die als contactpersoon voor de betrokkene en de toezichthoudende autoriteiten optreedt (art. 27). Het is mogelijk om een beroep te doen op de diensten van een onderaannemer, mits deze voldoende garanties biedt dat de verwerking in overeenstemming met de AVG wordt uitgevoerd (art. 28-1).

Het bijhouden van een "register van verwerkingsactiviteiten" is verplicht (art. 30). Het moet de contactgegevens van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, de categorieën van betrokken personen, gegevens en ontvangers, eventuele doorgiften naar een derde land, de termijnen voor wissing en een algemene beschrijving van de beveiligingsmaatregelen bevatten. Dit register moet de toezichthoudende autoriteit desgevraagd ter beschikking worden gesteld. Het is niet verplicht voor een bedrijf of organisatie met minder dan 250 werknemers, "tenzij de verwerking die zij uitvoeren waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen, indien deze niet incidenteel is..." (art. 30-5). Let daarom op: de omvang van het bedrijf alleen is geen voldoende criterium voor vrijstelling van het register. Als u regelmatig gegevens verwerkt, of als uw activiteit op enigerlei wijze in verband kan worden gebracht met de "rechten en vrijheden van personen", bent u verplicht een register van de uitgevoerde activiteiten bij te houden.

Een verordening is geen technische handleiding. Artikel 32, gewijd aan de beveiliging van de verwerking, herinnert niettemin aan enkele basisprincipes: pseudonimisering en encryptie, middelen om de vertrouwelijkheid en integriteit te waarborgen, en om de beschikbaarheid van gegevens en de toegang ertoe te herstellen in geval van een incident. De opstellers van de tekst negeren het risico van hacking niet: "Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de risico's die de verwerking met zich meebrengt, met name als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij per ongeluk, hetzij onrechtmatig, of de ongeoorloofde toegang tot die gegevens" (art. 32-2). Met andere woorden, een verwerkingssysteem wordt pas als conform beschouwd als het de nodige, ten minste maximale, waarborgen biedt op het gebied van gegevensbescherming en -beveiliging. We herinneren ons de ophef die ontstond na de hack van de ledendatabase van de Noord-Amerikaanse datingsite voor getrouwde mensen, waarbij tienduizenden vertrouwelijke profielen op internet terechtkwamen.

Indien ondanks de genomen voorzorgsmaatregelen een datalek wordt ontdekt, moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit binnen 72 uur op de hoogte stellen, "tenzij het onwaarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van natuurlijke personen" (art. 33-1). Deze kanttekening biedt enige ruimte, ook al suggereert de gehele tekst dat het niet mag worden misbruikt om een probleem te verhullen. De melding moet de aard van het lek, het geschatte aantal betrokkenen, de waarschijnlijke gevolgen van het lek en de genomen of voorgestelde maatregelen om het lek te verhelpen of de gevolgen ervan te beperken, vermelden.

De verwerkingsverantwoordelijke moet het slachtoffer ook zo snel mogelijk op de hoogte stellen van de inbreuk (art. 34). Deze mededeling is niet nodig indien de gestolen gegevens "onbegrijpelijk" zijn, bijvoorbeeld door encryptie, of indien de genomen maatregelen ervoor zorgen dat er geen risico's zijn voor de rechten en vrijheden van de betrokkene, of indien een dergelijke mededeling "onevenredige inspanningen zou vergen. In dergelijke gevallen moet in plaats daarvan een openbare mededeling of een vergelijkbare maatregel worden gedaan waarmee betrokkenen op een even doeltreffende manier kunnen worden geïnformeerd" (art. 34-3c). Deze paragraaf richt zich op massale hacks en ontslaat verwerkingsverantwoordelijken van de verplichting om een gepersonaliseerde e-mail te sturen naar elke betrokkene in hun bestand.

Tot slot willen we benadrukken dat de geest van de AVG eenduidig is: in een bedrijf met dochterondernemingen zijn de verplichtingen van de dochterondernemingen dezelfde als die van het moederbedrijf.