6min Security

GDPR: ‘25 mei begint het pas echt’

GDPR: ‘25 mei begint het pas echt’

Over iets meer dan een maand gaat de controle op naleving van de GDPR van start. Wat betekent dat voor jouw werk als developer of data scientist? Juliette van Balen, advocaat en privacy-specialist bij IP Advocaten: “Je moet jezelf continu afvragen welke data je écht nodig hebt, en hoe je de impact van het gebruik ervan kunt minimaliseren.”

De GDPR geeft geen vastomlijnde regels, maar kaders. Precies dat maakt de verordening voor veel organisaties complex, zegt Juliette van Balen: “De GRPR of AVG vraagt om een organisatieverandering. De wet vraagt daarom om een visie op hoe organisaties met hun data en klanten willen omgaan. Vervolgens is er leiderschap nodig om die visie concreet te maken en te implementeren in de processen. De wet gaat niet over privacy, zoals veel mensen denken, de wet gaat over bescherming van persoonsgegevens en daarmee dus over hoe we omgaan met data. In de wet staat niet wat wel en niet mag. Sterker: er mag heel veel, mits je het maar goed kunt beargumenteren, de juiste privacy assessments doet en mitigerende maatregelen hebt genomen.” Dat is precies wat developers en data scientists in hun werk in gedachten moeten houden. Dat zullen opdrachtgevers ook van hen verlangen, alleen al omdat de GDPR van hen vraagt dat zij hun data alleen nog uitbesteden aan dienstverleners die aantoonbaar voldoen aan de GDPR. Het is dus slim om als developer of data scientist een GDPR-training te volgen, zodat je aan opdrachtgevers een certificaat kunt laten zien en hen kan adviseren.

 

Privacy assessment

Voor developers is de GDPR op technologisch vlak niet zo’n grote uitdaging, zegt Dave van Stein, zelfbenoemd security & privacy geek bij it-bedrijf Xebia. “Er zal meer met encryptie en hashes gewerkt gaan worden, maar daar hebben we al veel ervaring mee. Het wat is dus veel minder interessant dan het hoe. Die verplichte privacy assessment heeft impact op je softwareontwikkeling; hoe ga je daar als professional, maar ook als organisatie mee om? Wanneer je agile werkt en steeds kortlopende sprints hebt, kan die assessment je vleugellam maken. Als je dan steeds een formulier moet opsturen naar je privacy officer, vertraagt dat enorm.”

Een developer heeft daarom een mandaat en het vertrouwen nodig van de privacy officer om hierin zelf afwegingen te mogen maken. Ook moet hij de juiste tools krijgen om zo’n self assessment te kunnen doen. Hoe de privacy impact assessments vervolgens ingericht worden, is volkomen afhankelijk van het soort organisatie. Veel standaardoplossingen zijn er nog niet, maar volgens Van Stein kun je de assessment redelijk eenvoudig integreren in de bestaande processen van ontwikkelaars. “Verweef het in de user stories van Jira Flows en wijs daarin een verantwoordelijke aan. Dan hoef je geen nieuw proces te ontwikkelen.”

 

Verwerkingsregister

Naast de privacy assessment moet er nog iets anders worden toegevoegd aan bestaande processen: een verwerkingsregister. Van Stein: “Je moet van elk dataelement dat je gebruikt kunnen aangeven op welke grond het is verzameld en welke levensduur het binnen je organisatie zal hebben. Alleen dan kun je namelijk wanneer de data verder verwerkt wordt, beoordelen of dat nog past binnen de context waarbinnen je de data hebt verzameld. Ook voor zo’n register is nog niet heel veel tooling in de markt. Je kunt het in je eigen infrastructuur bouwen of laten bouwen en bijvoorbeeld met een soort automatische contractjes werken. Applicatie A moet dan expliciet toestemming krijgen van applicatie B om toegang te krijgen tot de data daarin. Een aantal vooruitstrevende bedrijven experimenteert al met een metadataregister.

 

Data scientists en de GDPR

Voor data scientists is de wet niet wereldschokkend, zegt Giovanni Lanzani, Chief Science Officer bij GoDataDriven. “De huidige wetgeving is al redelijk strikt over persoonsgegevens. Deze moeten al volgens de wet verwerkt worden. Je moet al toestemming hebben om bepaalde data te mogen gebruiken en tenminste een gerechtvaardigd belang. Ook voor profiling gelden geen nieuwe regels. Wel nieuw is dat wanneer je geautomatiseerde beslissingen maakt op basis van data, je klanten het recht krijgen op uitleg over hoe die beslissing genomen is. Mits die beslissing een significante impact heeft op het leven van mensen. Denk bijvoorbeeld aan geautomatiseerde beslissingen in recruitment of over de verstrekking van een lening.”

Profiling voor direct marketing kan nog steeds, de GDPR geeft consumenten nu echter het recht om daartegen bezwaar te maken. Dit onderdeel over profiling in de verordening vraagt dat data scientists heel goed moeten weten welke data-elementen worden gebruikt voor een oordeel en hoe ze de beslissing van het algoritme beïnvloeden. Lanzani: “Maar ook hiervan geldt eigenlijk dat je dit als data scientists nu ook al hoort te weten, alleen zo kom je immers tot goede algoritmes.”

 

Defensiever coderen

Lanzani verwacht wel dat data scientists door de GDPR defensiever zullen gaan coderen en dus veel extra controles zullen inbouwen. “Stel dat je een webshop hebt en een marketingmail wilt gaan versturen. Je krijgt daarvoor een dump van de webshop data. Als het goed is filtert wie jou die dump levert de mensen die hebben aangegeven geen mail te ontvangen eruit, maar in grote organisaties zullen die processen nog niet zo vlekkeloos verlopen. Ik kan me dus voorstellen dat je nu extra controles gaat inbouwen. Zo’n metadataregister kan hier trouwens ook bij helpen. Het recht op dataportabiliteit maakt de GDPR overigens ook kansrijk voor data scientists. Als consumenten daadwerkelijk hun data meenemen van het ene naar het andere bedrijf, kunnen wij ze veel beter bedienen.”

 

100 procent compliant

Het moge duidelijk zijn: als organisaties zeggen dat je 100 procent compliant wilt zijn, heeft het geen zin als je geen duidelijke en weloverwogen keuzes maakt en als je vervolgens je processen niet anders inricht. Veel organisaties zijn nog niet zover. De GDPR is een goede reden om als organisatie eens kritisch naar je datahuishouding en datagebruik te kijken, zegt Van Balen. “Om vervolgens aan de slag te gaan met de nodige veranderingen binnen die organisatie. Want 25 mei begint het pas echt.”

Juliette van Balen, Dave van Stein en Giovanni Lanzani verzorgen bij Xebia Academy de training GDPR & Data Privacy. Zij zullen elk vanuit hun eigen invalshoek de belangrijkste aspecten van de verordening bespreken. Klik hier voor data en meer informatie. [https://training.xebia.com/security/gdpr-data-privacy]

 

GoDataDriven