‘GDPR kan leiden tot gemakzucht’

Vanaf 25 mei volgend jaar moeten alle bedrijven die actief zijn in de Europese Unie voldoen aan de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Het doel van de nieuwe wetgeving is het beter beschermen van de data en dus privacy van de burgers. Tijdens een bezoek aan F-Secure in Helsinki kregen we de gelegenheid om hierover wat verder door te praten met Erka Koivunen, de Chief Information Security Officer (CISO) van het bedrijf.

GDPR is een behoorlijk complex stuk nieuwe wetgeving, maar kan worden teruggebracht tot de volgende ‘regels’ met betrekking tot data:

  1. Bedrijven moeten transparant zijn over hoe data wordt verzameld en verwerkt;
  2. Burgers moeten expliciet toestemming geven voor het verzamelen van de data;
  3. Burgers moeten zonder gedoe gegevens van de ene naar de andere dienstverlener over kunnen zetten, waarbij er geen data gedeeld hoeft te worden die niet relevant is;
  4. Burgers hebben het recht om vergeten te worden;
  5. Bedrijven krijgen een meldplicht voor datalekken.

Als bedrijf moet je verder ook aan kunnen tonen dat je aan al deze verplichtingen voldoet. Blijf je in gebreke op een van de onderdelen van GDPR, dan kan een boete opgelegd worden van maximaal 20 miljoen euro of vier procent van de wereldwijde omzet.

Potentiële problemen met GDPR

De verplichting om aan te kunnen tonen dat je aan alle voorwaarden voldoet, is volgens Koivunen problematisch, want het is erg lastig om dit overtuigend te bewijzen. Er is namelijk nogal wat ruimte voor interpretatie in de nieuwe wetgeving. Dit neemt niet weg dat GDPR in de basis wel een goed initiatief is volgens hem. Het uitgangspunt is ook nobel wat hem betreft. Hij is echter zeer benieuwd hoe het in de praktijk zal gaan.

Kijkend naar hoe bedrijven in de VS – waar deze in 46 staten al een soortgelijke verplichting hebben als de GDPR voorschrijft als het gaat om datalekken – zal het niet meteen gaan betekenen dat de klant centraler komt te staan. Daar wordt bijvoorbeeld misbruik van burgerservicenummers en creditcardgegevens middels een standaard aanbod ‘afgekocht’. Er wordt verder weinig gedaan om het in de toekomst te voorkomen. Uiteindelijk lost men de problemen met de privacy van data op deze manier niet op.

Het succes van GDPR zal voor een belangrijk deel afhangen van het oprecht centraal stellen van de klant, volgens Koivunen. Wordt dit puur voor de bühne gedaan zoals in het aangehaalde voorbeeld uit de VS, dan zal de nieuwe wetgeving weinig uithalen.

Ook het recht om vergeten te worden kan een probleem opleveren overigens. Zeker voor oudere bedrijven met 40-50 jaar aan data verspreid over datacenters (waar men niet altijd meer in kan zoeken bijvoorbeeld) zal het nagenoeg onmogelijk zijn om hieraan te kunnen voldoen.

Voorbeeld stellen

Koivunen verwacht dat de Europese Commissie een voorbeeld gaat stellen na de invoering van GDPR volgend jaar. Er worden regelmatig bedrijven om de oren geslagen met grote boetes en dat zal ook bij de handhaving van GDPR gebeuren. Om de boodschap goed over te brengen, zal het een ongetwijfeld een groot bedrijf zijn, waarschijnlijk Amerikaans. Hierdoor zal men proberen om een situatie zoals de Amerikaanse die we hierboven schetsten te voorkomen.

Het op deze manier stellen van een voorbeeld, kan echter ook een tegenovergesteld effect hebben. Zeker als het bedrijf in kwestie echt zijn best heeft gedaan om aan de nieuwe regelgeving te voldoen, maar toch gestraft wordt, zal dat de acceptatie van GDPR niet ten goede komen.

Als de aanname dat het nagenoeg onmogelijk is om 100 procent te voldoen aan GDPR juist is, wordt het bestraffen van een bedrijf een tamelijk arbitraire aangelegenheid. Je kunt dan om het even welk bedrijf eruit pikken. Een andere benadering vanuit de Europese Commissie zou zijn om in eerste instantie te kijken naar de intenties van bedrijven. Ben je bewust bezig met het overtreden van GDPR, dan kom je in aanmerking voor een boete. In andere gevallen krijg je vooralsnog het voordeel van de twijfel.

Compliant staat niet gelijk aan ‘zo goed mogelijk’

Koivunen benoemt tot slot ook nog een onderliggend probleem van regelgeving zoals GDPR, waarbij compliance het toverwoord is. Hiermee wordt bedoeld dat je minimaal aan een bepaalde ondergrens moet voldoen, om compliant te zijn met in dit geval GDPR.

Koivunen heeft het in de basis niet zo op wetgeving die er primair op gericht is dat bedrijven er compliant aan zijn. Dat is dan namelijk het enige op het gebied van privacy (in het geval van GDPR) waar bedrijven naar kijken. Men is dan tevreden met ‘goed genoeg’ en gaat niet meer voor ‘zo goed mogelijk’. Potentiële goede ontwikkelingen die mogelijk zijn op het gebied van dataprivacy worden dan niet uitgevoerd. Waarom zou je ook, als je toch alleen maar wordt afgerekend op of je al dan niet voldoet aan de formele eisen van GDPR?

Let wel, dit betekent niet dat dataprivacy er na het invoeren van GDPR op achteruitgaat, benadrukt Koivunen. De lat wordt initieel hoger gelegd dan hij op dit moment bij het gros van de bedrijven ligt. Het kan echter nog beter. In dat opzicht zijn compliance-constructies eigenlijk altijd teleurstellend volgens hem. Het haalt de noodzaak om door te ontwikkelen weg.

Voor F-Secure verwacht Koivunen tot slot niet zo heel veel problemen als het gaat om GDPR. Veel van de zaken die in de nieuwe regelgeving staan, maken al onderdeel uit van de standaard procedures van het bedrijf. Dat heeft er voor een deel mee te maken dat Finland sowieso behoorlijk strenge wetgeving heeft op het gebied van privacy. Het feit dat F-Secure een securitybedrijf is, speelt natuurlijk ook een rol.