naar top
Menu
Logo Print
21/06/2018 - SAMMY SOETAERT

OOK ONZE MAAKINDUSTRIE MOET VOORBEREID ZIJN OP IMPACT GDPR

… Maar weinig reden tot paniek

GDPR
Sinds 25 mei 2018 moeten ook bedrijven in orde zijn met GDPR

Sinds 25 mei 2018 geldt voor bedrijven overal in de EU eenzelfde, uniforme privacywetgeving: GDPR (General Data Protection Regulation) oftewel Algemene Verordening Gegevensbescherming (AVG). GDPR? Dat slaat toch enkel op cookies, IP-identificatie en het bijhouden van e-mails en persoonsgebonden informatie om zo gericht klanten te bestoken met commerciële boodschappen? Fout! Ook op industriële productieomgevingen heeft de nieuwe wetgeving een impact.
 

 

Y2K REVISITED

De GDPR wordt een stevige uitdaging in 2018 en verder. Ja, er zal een zekere impact zijn op uw bedrijf en nee, er is geen ontsnapping mogelijk: 'wet is wet' in alle 28 lidstaten en zelfs daarbuiten. U zult er dus willens nillens mee geconfronteerd worden, maar laat u vooral niet van de wijs brengen door allerlei consultants, dure kantoren en IT-profeten, want de onheilstijdingen die rond GDPR gelanceerd worden, lijken verdacht veel op de situatie rond de millenniumbug. Maandenlange stemmingmakerij, 'hals-over-kop' maatregelen om uiteindelijk vast te stellen dat er helemaal niks aan de hand is. We weten allemaal nog precies hoeveel vliegtuigen die nacht neergestort zijn door de bug Y2K. Nul...

  

OP MAAT VAN CONSUMENTENBESCHERMING

De GDPR heeft in de eerste plaats consumentenbescherming als doel. Het bijhouden van klantgegevens wordt gebonden aan enkele goedkeuringen, regels en maatregelen die hem of haar beter moeten beschermen. De bedoeling is dat men niet enkel datalekken voorkomt, maar ook een stok achter de deur heeft om bedrijven te straffen die laks omspringen met de privacy van hun klanten. Er zijn situaties genoeg bekend waarin een Excel bestand met e-mailadressen voor iedereen bereikbaar op de server geplaatst wordt. Dat zet natuurlijk de weg open voor allerlei vormen van misbruik. Ook het verhandelen van persoonsdata wordt zo aan banden gelegd.

 

ACHT BASISBEGINSELEN VAN GDPR

 

Toestemming

Betrokkenen dienen toestemming te geven voor de verwerking van hun persoonsgegevens, en dat door middel van een duidelijke actieve handeling. Bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens.

Verwerking

Persoonsgegevens moeten - kort samengevat - worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Doel

Fabrikanten mogen persoonsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzamelen. 'Minimale gegevensverwerking' is hierbij altijd de norm.

Correctheid

De persoonsgegevens moeten juist zijn, fabrikanten zijn verplicht deze zo nodig te actualiseren. Ondernemingen zijn verplicht onjuiste persoonsgegevens desgewenst te wissen of te rectificeren.

Niet identificeerbaar

Fabrikanten dienen de persoonsgegevens te bewaren in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt, noodzakelijk is.

Beveiliging

Tot slot moeten fabrikanten de persoonsgegevens door het nemen van passende technische of organisatorische maatregelen dusdanig verwerken dat een passende beveiliging gewaarborgd is.

Wissen

Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden - ook als de data inmiddels gedeeld zijn met derde partijen.

Meldingsplicht voor lek

Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

 

Persoonlijke gegevens
Persoonlijke data worden vandaag op tientallen manieren gedefinieerd

OOK MAAKINDUSTRIE MOET AANPASSEN

Een eenvoudige oplijsting toont meteen dat potentieel alle disciplines en actoren in een bedrijf geraakt worden door de GDPR. Zo verwerken medewerkers op de personeelsafdeling dagelijks persoonsgegevens van medewerkers en sollicitanten. Denk aan telefoonnummers (privé en zakelijk), e-mailadressen en geheime codes, zoals toegangscodes van panden en wachtwoorden voor computers. Daarnaast zijn er de loongegevens, paspoorten, bankrekeningnummers, rijksregisternummers enzovoort. Binnen beveiligde fabrieksterreinen worden er wellicht biometrische gegevens (zoals vingerafdrukken) en camerabeelden gemaakt en bewaard. De financiële afdeling, op haar beurt, verzamelt persoonsgegevens van toeleveranciers, (onder)aannemers en kredietverschaffers. Sommige fabrieken starten eigen retailactiviteiten op, waarmee ze klanten rechtstreeks bedienen, business-to-consumer (B2C). De marketingafdeling beschikt dan over een CRM-systeem of -database met klantgegevens.

 

IIoT en GDPR
Welke operator voerde een taak uit? Ook het bijhouden van die persoonsdata is gebonden aan de GDPR

Transparantie en traceertechnologieën

Er is - wat de industrie betreft - echter een grote 'maar' in dit geheel, en dat heet het Industrial Internet of Things (IIoT). An sich is deze evolutie toe te juichen, als we spreken over connected enterprises, slimme fabrieken, data-centered production en dergelijke. Data worden de basis waarop machines hun beslissingen zullen baseren, niet langer menselijk denkwerk. Maar zover is het nog niet, want nu is die menselijke inbreng wel nog belangrijk. Maar de wijze waarop we machines besturen en onderhouden, is wel al een stuk richting de slimme productie geëvolueerd. Bedrijven willen weten hoe een machine presteert ten opzichte van soortgelijke machines. Bedrijven willen weten waar precies een onderdeel zich bevindt in de productieketting. Bedrijven willen weten welke acties ondernomen werden in een productieproces en waarom. Om dat te doen, maken we gebruik van meerdere technologieën.
Geolocatie laat toe om exact te weten waar mobiele toestellen zich bevinden. Inloggen bij HMI's geeft aan welke werknemer wanneer begint en eindigt bij een bepaalde machine. Het opvolgen van processen geeft precies aan hoelang die werknemer erover doet om een bepaalde handeling te verrichten. RFID wordt toegepast om allerlei productiefactoren mee te geven met stukken. De GDPR maakt geen enkel onderscheid tussen de motieven waarom u persoonsgegevens logt. Als u een productierapport binnenkrijgt waarbij een leverancier u meegeeft welke van zijn operatoren een bepaalde batch op zich genomen heeft, dan bent u verantwoordelijk voor de correcte verwerking van die persoonsgegevens.

In dit concrete geval is het hoogstwaarschijnlijk niet nodig dat de leverancier deze informatie meegeeft. Waarschijnlijk geeft hij deze informatie mee uit volledigheid, maar voor de werking van uw bedrijf is het helemaal niet nodig. Als u een kwaliteitsklacht heeft, koppelt u gewoon terug naar de leverancier, niet naar de werknemer rechtstreeks. Als die persoonlijke informatie toch tot bij u komt, dan moet de operator in kwestie ook actief aangeduid hebben dat hij toestemming gegeven heeft. Dit voorbeeld is een prima illustratie van het concept 'privacy by design', dat inhoudt dat de fabrikant er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Dat betekent ook dat hij niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. 'Privacy by default' houdt in dat de fabrikant technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat hij, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat hij wil bereiken. In dit geval kan de leverancier zich beperken tot het zelf bijhouden van de operatorgegevens. Een ander voorbeeld is het opslaan van locatiegegevens van appgebruikers. Als dit niet nodig is voor het specifieke doel, mag dit niet langer volgens de GDPR-regels. Toch is volgens onderzoek van IT-bedrijf SafeDK 55% van de mobiele apps momenteel niet in regel met de GDPR-wetgeving.

 

Data security breach
Databescherming is meer dan nodig - bemerk de stijging van het aandeel ‘hacking’

DATA PROTECTION OFFICER

Een belangrijk punt binnen de GDPR is de eventuele aanstelling van een specialist binnen de firma die een expert is inzake privacybescherming, gegevensbeveiliging (cybersecurity), maar tegelijk ook een goed inzicht moet hebben in bedrijfsprocessen. Dat laatste wordt weleens over het hoofd gezien: GDPR is een continu proces. Voortdurend moeten alle processen en hun veranderingen door de tijd tegen het licht gehouden worden. Dat vereist een zeker inzicht in hoe het bedrijf functioneert, welke IT-processen er zijn, hoe de beslissingslijnen lopen enz. De functionaris kan zowel iemand intern als extern zijn. Belangrijk hierbij is dat als er voor een interne oplossing geopteerd wordt, de betrokkene dan geen conflicterende rol mag bekleden. Wie geen knowhow heeft over gegevensbeveiliging en -bescherming, kan voor een externe functionaris kiezen. Maar er is weinig duidelijkheid over deze functie.

 

KRITIEK OP INVOERING

Dat onze privacy al langer dan vandaag langs alle kanten aangevallen wordt, is al langer een groot probleem. Een wet die dat probeert te verhelpen - dan nog op Europees niveau - is alleen maar toe te juichen. Het vinden van de juiste balans tussen het correct gebruiken van persoonsgegevens en de bescherming van de privacy zal de komende jaren een zeer belangrijk topic worden, voor zover het dat nog niet is. Toch hoeven we niet als kippen zonder kop de GDPR-onheilsprofeten na te praten. Er wordt weliswaar gezwaaid met enorme boetes (tot 4% van de jaaromzet met een maximum van 20 miljoen euro), maar de grote vraag blijft in hoeverre er effectief controles ten gronde uitgevoerd zullen worden. Bovendien zitten heel veel basisprincipes van de GDPR al vervat in de huidige Belgische Privacywet, waardoor het opstapje naar GDPR beperkt is voor onze bedrijven. De grootste verandering wordt wellicht de mogelijke aanstelling van de Data Protection Officer. Maar hier is de GDPR-wetgeving dus hoogst onduidelijk in. Volgens de wet moet er een DPO aangesteld worden als de 'verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met (data)verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen'. Kan het nog vager? Wie bepaalt wat de termen 'regelmatig' en 'stelselmatig' inhouden? Een bedrijf dat voor zijn dagelijkse werking een grote hoeveelheid - al dan niet gevoelige - persoonsgegevens verwerkt, heeft een DPO nodig, dat is zowat het vage besluit. Elke advocaat zal deze veel te vage omschrijving als verdediging opwerpen om te verklaren waarom er geen DPO aangesteld werd.

ABISS