Wie ligt nog wakker van de GDPR?

De nieuwe Europese privacywetgeving GDPR is ondertussen bijna een half jaar oud, maar de verwachte storm blijft grotendeels uit. Hoewel er nog veel werk aan de winkel is, lijkt de urgentie van voor 25 mei weer verdwenen. “GDPR staat niet meer in het prioriteitenlijstje van de CIO”, zegt Jo Vander Schueren, algemeen directeur bij SecureLink.

We spraken met Vander Schueren begin oktober tijdens het jaarlijkse Checkup-seminarie van SecureLink in de Antwerpse Koningin Elisabethzaal.

Het Belgische SecureLink bestaat sinds 2003 en is de laatste jaren aan snel tempo gegroeid, van een lokale IT-integrator tot een Europese dienstenleverancier in cybersecurity. Door die Europese aanwezigheid had de securityspecialist het voorbije jaar een goed zicht op de ontwikkelingen die plaatsvonden rond GDPR, de nieuwe Europese dataprivacywetgeving die op 25 mei van dit jaar in voege is getreden.

Met name de strenge sancties waar volgens de wetgeving sprake van is, zorgden ervoor dat privacy en security in de aanloop naar 25 mei bij veel organisaties plots hoog op de agenda stonden. Niemand riskeert graag een boete van 20 miljoen euro of 4 procent van zijn wereldwijde totale jaaromzet.

Paper trail

Een half jaar later zijn de gemoederen alweer flink bedaard. “We merkten in de eerste helft van 2018 een groei in security awareness bij bedrijven door enkele grote data-inbreuken en de komst van de GDPR, maar dat is ondertussen weer gedaald”, vertelt Vander Schueren. “GDPR staat niet meer in het prioriteitenlijstje van de CIO. Nochtans is bijna niemand ermee klaar.”

 

“GDPR staat niet meer in het prioriteitenlijstje van de CIO.”

 

De wetgeving heeft volgens Vander Schueren alleen een enorme paper trail gecreëerd. Bedrijven hebben alle maatregelen getroffen om zich in te dekken – denk aan de vele e-mails met gewijzigde privacybeleiden, verzoeken om opt-ins op marketingmails te vernieuwen of Amerikaanse websites die plots op zwart gingen voor Europese bezoekers. Het vooropgezet doel van de GDPR is evenwel nog niet bereikt. Security en privacy by design blijven voorlopig meer idee dan realiteit.

Privacy by design

Privacy by design betekent niets meer of niets minder dan dat gegevensbescherming vanaf het begin in de technologie geïntegreerd zit. Het mag geen overweging achteraf zijn. De gedachte daarachter is dat gegevens tijdens hun verwerking alleen maar optimaal kunnen worden beschermd wanneer die bescherming reeds bij de ontwikkeling van de technologie in rekening werd genomen.

Onder de GDPR betekent privacy by design, zoals beschreven in artikel 25, dat “de verwerker zowel bij de bepaling van de middelen voor de verwerking als op het tijdstip van de verwerking zelf passende technische en organisatorische maatregelen moet nemen”. Daaronder wordt onder meer pseudonimisering en minimalisering van de gegevens verstaan, alsook het inbouwen van de nodige safeguards om de rechten van de betrokkenen voldoende te beschermen.

 

 “Er zijn vandaag meer data protection officers dan ooit, maar het zijn bijna altijd juridische functies.”

 

Geen echte verandering

“Er zijn vandaag meer data protection officers dan ooit, maar het zijn bijna altijd juridische functies. Die kijken niet naar het veiliger maken van de processen”, vertelt Vander Schueren. Mogelijke risico’s worden volgens de securityspecialist vandaag afgedekt met contracten, in plaats van dat bedrijven in eigen boezem kijken om hun data beter te beveiligen.

Als privacy by design het doel is, hebben we nog een lange weg te gaan, vindt Vander Schueren. Hij is evenwel optimistisch. GDPR is tot nog toe niet het ultieme redmiddel geweest waar Europa misschien op had gehoopt, maar het creëert wel meer zichtbaarheid. Onder meer omdat data-inbreuken voortaan verplicht moeten worden gerapporteerd naar de bevoegde instanties én de gebruiker. “Die zichtbaarheid helpt. We zullen er wel raken”, besluit de topman van SecureLink.