Europese privacy wet heeft impact op data management

De EU voert een wet in die burgers en hun gegevens verregaand beschermd. Officieel gaat het niet in de eerste plaats om terugdringing van de ongebreidelde spionagepraktijken van de Amerikaanse NSA en gelijken, maar dat is daar wel een direct gevolg van. Zo mag alleen nog een Europese rechter besluiten gegevens over Europeanen aan de VS over te dragen, burgers dienen direct toegang te krijgen tot hun gegevens en boetes voor overtreden zijn hoog.

21 oktober is een interessante en best historische dag voor voor de bescherming van de burgers van Europa. Ondanks de bijna 4000 amendementen op de voorstellen voor een nieuwe privacywet, is bij de stemming voor goedkeuring, door een overweldigende meerderheid vóór het ontwerp gestemd.

Dat betekent dat de EU een wet gaat invoeren die burgers en hun gegevens verregaand beschemd. Officieel gaat het niet in de eerste plaats om terugdringing van de ongebreidelde spionagepraktijken van de Amerikaanse NSA en gelijken, maar dat is daar wel een direct gevolg van. Zo mag alleen nog een Europese rechter besluiten gegevens over Europeanen aan de VS over te dragen.

Bedrijven zoals Google, Facebook, Microsoft en Yahoo hebben zwaar gelobbyd tegen deze wet. Zij waren bezorgd dat hun operationele activiteiten rondom gegevens veel ingewikkelder en dus duurder worden. Na aanvankelijk succes, waarbij essentiële stukken van het voorstel veranderd waren is de wet er toch sterker uitgekomen. Dat is mede te danken aan de beschrijvingen die Edward Snowden heeft gegeven van de NSA praktijken.

Amerikaanse overheden zijn ook tegen deze wetgeving omdat ze vrezen dat de rest van de wereld het voorbeeld van strengere data regels gaat volgen. In het bijzonder landen in Latijns Amerika, Azië en het Midden Oosten zullen dat doen waardoor ze moeilijker in staat zullen zijn het gewenste niveau van monitoring, ten behoeve van terrorismebestrijding, te halen.

Bij overtreding van de wet kunnen de boetes oplopen tot 5% van wereldwijde jaaromzet van een overtreder, of een bedrag van 100 miljoen Euro.
Enkele gevolgen van deze wet voor de burgers en bedrijven zijn:

  • Burgers moeten op eerste verzoek compleet inzage krijgen in de informatie die over hen is vastgelegd en het doel wat er mee gediend is dient duidelijk te zijn.
  • Burgers kunnen die gegevens laten wijzigen of zelfs compleet verwijderen.
  • Er komt een verplichting voor bedrijven / instellingen die van meer dan 5000 mensen data beheren, moeten een privacy officer aanstellen.
  • Gebruiksvoorwaarden moeten in eenvoudige bewoordingen geschreven zijn en worden gestandaardiseerd. Er worden icoontjes ontworpen voor gebruik van gegevens, vergelijkbaar met het wasvoorschrift in een kledingstuk. De lange ingewikkelde juridische teksten dienen te verdwijnen.
  • Als buitenlandse autoriteiten bedrijven (lees: Als de NSA Facebook) vragen om gegevens van Europese burgers dan moet daarvoor toestemming verleend worden door een Europese rechter. Overigens is het bedrijven verboden om persoonsdata te delen met autoriteiten in derde landen.

Er zijn volgens mij gevolgen voor alledaags gegevensbeheer en het inrichten van de organisatie daaromheen. Zonder diepgaande impactanalyse kunnen we al wel stellen dat deze wet, die eind 2015 in alle landen ingevoerd moet zijn, aanzienlijke gevolgen zal hebben voor de inspanning van een organisatie op datamanagement gebied. Te denken valt aan:
Faciliteiten die het mogelijk maken de opgevraagde informatie van een burger snel op te vragen;

  • Inrichting van gegevensmodellen en maatregelen die het mogelijk maken de persoonsgegevens uit de databases en eventuele chat-, correspondentie- en mailhistorie te verwijderen en te wijzigen.
  • Inrichting van faciliteiten waaruit de oorsprong van de data is af te lezen, omdat doelbinding essentieel is en omdat de privacy officer van voldoende informatie voorzien moet worden.
  • Bedrijven die nog geen maatregelen op het gebied van Datagovernance, -kwaliteit en -logistiek hebben genomen om in staat te zijn snel correcte gegevens aan de aanvrager te tonen, moeten daar alsnog grote inspanningen voor doen. Er gaat soms jaren overheen om een goed (centraal) gegevensbeheer in te richten, zij zullen dus heel snel moeten starten. 
  • Invloed op de ingerichte, of in te richten gegevensstrategie omdat rekening gehouden moet worden met de regels over beveiliging van persoonsgegevens en mogelijk nieuwe lijnen waarlangs gegevens, de metadata en de herleidbaarheid daarvan ingebouwd moeten zijn.

De opstellers van de wet hebben de definitie van 'persoonsgegevens' ruim genomen. Zo valt alle data waarmee de identiteit van een persoon te achterhalen is, binnen scope.

Hoewel deze wet, ook door de eenheid die erdoor in de Europese Unie ontstaat, toe te juichen is, zijn er nog vragen en risico's.
Een risico is dat mensen met teveel tijd herhaaldelijk gaan vragen om toegang tot hun data en die steeds willen wijzigen. Dat leidt tot WOB toestanden, waarbij sommigen een heel team in een gemeentehuis aan het werk kunnen houden om te voldoen in de aanvragen die die persoon almaar doet. Er is één voorbeeld van een ondernemer die tegen de 100 verzoeken deed in het kader van de Wet Openbaarheid van Bestuur, omdat hij zich benadeeld voelde door de gemeente. In de wet is wel bescherming opgenomen tegen herhaalde en pesterige verzoeken. De gegevenshouder mag een vergoeding vragen voor de dienst als die herhaald moet worden uitgevoerd of hij kan de actie weigeren. Dan moet hij wel in staat zijn te bewijzen dat het om een hinderlijke aanvraag gaat.

Een vraag is in hoeverre historische gegevens die bijvoorbeeld op tape back-ups staan ook op verzoek verwijderd en / of gewijzigd moeten worden. Wat we tot nu toe van de wetteksten gezien hebben, is dat wél het geval, op verzoek van een Europees persoon dient de gegevensbeheerder dus alle historische tapes en informatiedragers na te kunnen gaan om vast te stellen of er geen data over die persoon op staat.

Check ook de wettekst: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0010:en:NOT
en de Data Protection News Room: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Reacties

Populaire posts van deze blog

OTAP reloaded

What's up with roles in data management?

Boos om "BI betaalt zich bijna nooit terug" kop in Computable