Gdpr is over 1 dag weg: weet u waar uw gegevens zijn?

Voor veel bedrijven, vooral voor veel kleine tot middelgrote bedrijven (MKB's), kan de feitelijke locatie van hun gegevens een raadsel zijn. Stel dat u bijvoorbeeld op een cloudgebaseerd servercluster in de regio Northern Virginia van Amazon Web Services (AWS) draait. Dat betekent dat uw gegevens in Noord-Virginia zijn, toch? Nou ja, waarschijnlijk. Maar laten we zeggen dat u zaken doet met bedrijven of particulieren in Europa. Dan bevinden de gegevens over die entiteiten zich waarschijnlijk ook in die regio. En in zeer korte tijd kan dat een probleem zijn.

Op vrijdag 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) in werking. Op dat moment valt uw bedrijf onder de voorschriften van de EU met betrekking tot nieuwe vereisten voor de bescherming van de persoonsgegevens van burgers. Zelfs als u zich niet in Europa bevindt, is uw bedrijf nog steeds aan die voorschriften onderworpen als u persoonlijke gegevens over inwoners van de EU bijhoudt. Probleem is, zelfs als u denkt dat het terugtrekken van die gegevens naar uw Amerikaanse bedrijfslocatie deze beter beschermd zal houden, is het mogelijk dat u die gegevens niet in de Verenigde Staten mag opslaan.

Wat nog belangrijker is, afgezien van de AVG, zijn er andere voorschriften over grensoverschrijdende gegevensstromen waarmee u ook rekening moet houden. Dit komt omdat het moeilijk kan zijn om onderweg gegevens van een EU-burger (of iemand die in de EU woont en geen burger is) door een ander land te laten passeren. Dit betekent dat u meer moet weten dan alleen waar het is wanneer u het opslaat: u moet weten waar het tussen u en waar uw klant of medewerker zich bevindt, precies moet weten.

Ik ga niet in op de draconische straffen die op je kunnen wachten als je de regels van de AVG schendt omdat ze in deze kolom en op veel andere plaatsen in het verleden zijn beschreven. Laten we zeggen dat u niet wilt dat deze boetes ooit op u worden toegepast.

7 paden naar GDPR-naleving

Maar zolang u een aantal preventieve maatregelen neemt, hoeft u zich geen zorgen te maken over eventuele boetes. Er zijn een aantal vrij eenvoudige dingen die u kunt doen om problemen te voorkomen. Hier zijn er zeven, in volgorde van gemakkelijkst tot moeilijkst om te doen.

Verzamel geen persoonlijke informatie van mensen in de EU. Als uw website iemand de mogelijkheid biedt om persoonlijke informatie (bijvoorbeeld zijn naam en adres) in te vullen tijdens het registreren op uw website, accepteert u geen registraties van de EU of helemaal niet.

Als u persoonlijke informatie van mensen in de EU moet accepteren (misschien omdat u een e-commerce-website heeft die daar dingen verkoopt), laat de gegevens dan opslaan op een cloud-server die zich binnen de EU-grenzen bevindt. Vaak is dit gewoon een kwestie van het configureren van een Infrastructure-as-a-Service (IaaS) servercluster met behulp van de Europese website van uw huidige cloudaanbieder. Als alternatief kan een korte betrokkenheid bij de professionele armen van de meeste cloudproviders ervoor zorgen dat ze deze taak voor u uitvoeren. Niet alleen dat, maar als je het geluk hebt om contact op te nemen met hun in Europa gevestigde consultants, krijg je waarschijnlijk ook gecertificeerde testen en de juiste documentatie.

Hoewel er tijden zijn dat u gegevens naar de VS of een van enkele andere landen in Europa kunt verplaatsen, zijn er beperkingen. In de VS zijn ze gebaseerd op het Privacy Shield, een overeenkomst tussen de VS, de EU en Zwitserland waarin beschermingsvereisten worden vastgelegd voor gegevens die tussen de VS en die landen stromen. Het is waarschijnlijk een goed idee voor uw organisatie om te certificeren dat het voldoet aan de eisen van de GDPR inzake gegevensbescherming, maar de EU-wetgeving is zodanig dat het verzamelen en bewaren van gegevens beperkt is tot alleen wat nodig is om de onmiddellijke taak uit te voeren. Dat betekent dat iemand die op de hoogte is van GDPR-details uw verschillende gegevensstromen bijhoudt. Hoewel vervelend, is dit de enige manier om er zeker van te zijn dat je hieraan voldoet.

Als u gegevens moet verwerken, of dit nu in de EU of in de VS is, moet u aan specifieke vereisten voldoen, waaronder iemand die wordt benoemd als functionaris voor gegevensbescherming (DPO). Je zult ook een workflow moeten regelen die is gewijd aan het verwijderen van gegevens wanneer deze niet langer nodig is, en dit kan bijzonder complex worden omdat een deel hiervan ervoor zorgt dat je de persoonlijke informatie kunt verwijderen van iedereen die vraagt ​​om vergeten te worden. Eerlijk gezegd is dat een andere reden om twee keer na te denken over het opslaan van informatie over mensen uit de EU.

Als u echt zaken moet doen in de EU, moet u waarschijnlijk overwegen om daar aanwezig te zijn in plaats van alleen een cloud-account met een server of een zakelijke service voor het delen van bestanden in Europa. Misschien wilt u een bedrijf inhuren om uw zaken in Europa af te handelen of wilt u een kantoor openen, omdat het personeel van GDPR-experts en -consulenten aan die kant van de vijver gemakkelijker is om nog maar te zwijgen over het feit dat u eenvoudig Europees zaken doet in een post-GDPR wereld zal inherent gemakkelijker zijn in Europa dan ergens anders.

Als u een kantoor opent, moeten uw werknemers in Europa ook hun gegevens laten verwerken volgens de AVG-regels. Hoewel u werknemersregistraties in de VS kunt laten bewaren, moet u zich aan de regels houden, inclusief het niet bijhouden van informatie die niet strikt noodzakelijk is voor een werknemer om zijn of haar werk te doen. U moet ook toestemming van de werknemer krijgen om persoonlijke informatie op te slaan (misschien zodat hij of zij betaald kan krijgen), maar uw DPO moet alle opgeslagen gegevens evalueren om er zeker van te zijn dat het iets is dat vereist is. Je kunt bijvoorbeeld niet om hun foto vragen, tenzij er een reden is, en dan moet je een zeer specifieke rechtvaardiging geven over hoe het zal worden gebruikt. En de werknemer moet kunnen weigeren zonder gevolgen.

Nu voor het gecompliceerde gedeelte: de IT-afdeling moet te allen tijde kunnen bepalen waar de beveiligde gegevens zich bevinden, waar ze zich bevinden tijdens het gebruik, waar ze worden opgeslagen en hoe ze worden beschermd. Alleen maar zeggen dat het op uw cloud-server in Ierland is, is niet genoeg; uw mensen zullen moeten weten hoe het die server bereikt, wat ermee gebeurt wanneer het wordt gebruikt en hoe het wordt beschermd - in detail. Het beste is om experts in te huren om dit voor u te doen, althans de initiële toewijzingen en selectie van managementtools die die informatie behouden. Uiteindelijk zullen een DPO en ondersteunend personeel nodig zijn, maar op de korte termijn doen de meeste bedrijven er goed aan om op zijn minst een consultant in te schakelen die over verifieerbare expertise beschikt.

Voor de uitstellers

Natuurlijk niet om er een te fijne punt op te zetten, maar je had dit allemaal al moeten doen. Toch is de realiteit dat dagelijkse zaken zijn wat ze zijn, de kans is groot dat velen van jullie dit niet hebben gelezen. Dus nu de datum in principe op u rust, moet u eerst weten waar uw gegevens zich bevinden. En als het niet is waar het hoort te zijn, zie punt 1 hierboven totdat je het hebt uitgezocht.

Terwijl u dit doet, is het een goed idee om een ​​toestemmingsformulier te plaatsen voordat iemand toegang heeft tot het gedeelte van uw website dat om persoonlijke informatie vraagt. Sagara Gunathunge, vice-president van het Apache Web Services-project en directeur bij WSO2, biedt een aantal vrij beschikbare voorbeelden van toestemmingsformulieren voor verschillende doeleinden. Maar vergeet niet dat u moet bijhouden wie die formulieren invult, zodat u een directe link kunt weergeven naar de informatie die u hebt verzameld en of deze is opgeslagen in de EU of elders. Zorg ervoor dat het duidelijk geformuleerd en nauwkeurig is en zeg precies wat er gebeurt met de informatie die u verzamelt. Ja, het is een pijn in de nek. Maar de andere keuze is optie 1.