Strenge eisen met komst GDPR

02-05-2016

Download dit artikel in PDF

“Het einde van een papieren tijger”, zo reageerden velen op de aankondiging van de General Data Protection Regulation (GDPR) na jaren van discussies op Europees niveau. Financiële dienstverleners krijgen twee jaar de tijd om databeveiliging op orde te brengen, op straffe van boetes die oplopen tot 4 procent van hun omzet.

De GDPR heeft effect op alle organisaties die te maken hebben met data van Europese burgers. Het meest in het oog springende aspect van de wetgeving, die begin 2018 in werking treedt, zijn de torenhoge boetes. Een groot verschil ten opzichte van de situatie nu, waarin het risico op financiële sancties bij non-compliance nihil is. Ook verandert de scope van de wetgeving: GDPR geldt niet alleen voor bedrijven en opgeslagen data binnen de Europese Economische Ruimte (EER), maar voor alle bedrijven die Europese klanten hebben of die – zoals bijvoorbeeld Facebook en Google – online gedrag van Europese burgers monitoren.

Passende maatregelen

Nu al moeten banken en andere bedrijven ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beschermen. GDPR gaat een stap verder: bedrijven moeten deze maatregelen monitoren, up-to-date houden en dit ook kunnen laten zien aan de wetgever. GDPR betekent ook de invoering van ‘privacy by GDPRdesign’, waarbij dataprotectie het hart vormt van elk proces waar persoonsgegevens aan te pas komen. De consument mag op elk moment een verzoek indienen tot het wissen van persoonsgegevens. En er is een strenge meldplicht: organisaties hebben 72 uur om overtredingen en lekken te melden.

Het mag duidelijk zijn dat de impact van GDPR op (e-)financials groot is; zij hebben namelijk te maken met grote hoeveelheden data van financiële consumenten. Een vergelijking met de impact van Europese anti-trustregelgeving is zeker op zijn plek. Torenhoge boetes op een gebrek aan compliance vormen ook hier een bedreiging voor de continuïteit van de onderneming. Daarom zijn anti-trustmaatregelen in elke bestuurskamer een vast onderdeel van elke strategische beslissing. Met dataprotectie zal dit straks niet anders zijn.

Werk aan de winkel?

Hoe reageren financials op de komst van GDPR? In Scandinavië, waar veel financiële dienstverleners hun IT-processen bij Basefarm hebben ondergebracht, is paniek vooralsnog uitgebleven. Toch hoeft dit beeld niet representatief te zijn voor de rest van Europa. De huidige regelgeving verschilt namelijk per land. In sommige landen is deze al erg strikt, zoals Noorwegen (geen onderdeel van de EU, wel van de EER) en ook Duitsland. Hier hebben organisaties meestal al solide processen voor dataprotectie. In andere landen, bijvoorbeeld het Verenigd Koninkrijk, zijn de regels veel vrijblijvender. Volgens Brits onderzoek denkt zelfs 90 procent van de IT-verantwoordelijken dat hun organisatie een groot probleem heeft in 2018. Een van de doelen van GDPR is het harmoniseren van Europese regelgeving. Een logisch gevolg is dat voor sommige landen de stap naar de nieuwe situatie groter is dan voor andere landen.

Banken en andere financiële dienstverleners hebben vaak hun data opgeslagen bij derden. Dit betekent dat op een gegeven moment een IT-leverancier de verwerker is van persoonsgegevens. Goede afspraken met de leverancier over wie waarvoor verantwoordelijk is, zijn daarom essentieel om hoge boetes te voorkomen. Dit is overigens straks eenvoudiger, doordat alle Europese landen straks dezelfde regelgeving voor dataprotectie hanteren. Veel externe bureaucratie verdwijnt. Daarvoor in de plaats komt echter wel meer interne bureaucratie;privacy by design betekent dat (e)financials die veel klantdata verzamelen, in elke stap van het proces vast moeten leggen hoe zij compliant blijven. Ook als hun data elders staat.

Financiële sector op voorsprong

Met name de hoogte van de boetes bij non-compliance zal vanaf 2018 ertoe leiden dat (e)financials die dataprotectie in het verleden te licht hebben opgevat, nu actie gaan ondernemen om te veranderen. Maar voor alle instellingen die te maken krijgen met GDPR geldt dat zij de veranderingen die aanstaande zijn, moeten reviewen en moeten nagaan wat deze voor hen betekenen. Gelukkig is de sector al heel vertrouwd met regulering en compliance. In vergelijking tot andere bedrijven die persoonsgegevens verwerken, staat de financiële wereld daardoor gelukkig al op voorsprong.

Arvid Grøtting is Senior Information Security Manager van Basefarm

Download dit artikel in PDF