Go to Top

AVG (GDPR) zet bedrijven onder druk om data te wissen

Het Snowden-schandaal heeft ertoe bijgedragen dat de EU de minimale veiligheidseisen voor bedrijfsnetwerken en gegevensbescherming wil opschroeven. Een manier vinden om informatie op verantwoordelijke en effectieve  wijze te beheren is niet makkelijk. Van belangrijke overheidsinformatie tot de creditcardgegevens van een Amazon-klant, het digitale netwerk zit vol vertrouwelijke informatie die met de dag in omvang groeit.

We leven zonder twijfel in de eeuw van de big data (zeer grote, gecompliceerde, snel-veranderende gegevensverzamelingen) en er zijn geen aanwijzingen dat dit gaat veranderen. Iedere seconde worden er nu zo veel big data geproduceerd dat het moeilijk wordt al deze gegevens op te slaan, te beheren en te bewerken voor commerciële doeleinden – en het probleem is niet alleen de omvang, maar ook het soort data.

Het probleem met ongestructureerde data

In het verleden waren de meeste gegevens gestructureerd of netjes opgeslagen in een database. Dit kon nog omdat er geen wereldwijde met elkaar verbonden netwerken bestonden, en informatie werd fysiek bewaard in archiefkasten of digitaal op opslagmedia. Met de intrede van het digitale tijdperk veranderde dit en de toename van digitale interactie zorgde voor een explosieve groei van de hoeveelheid ongestructureerde data.

Verder hebben we een grote toename in het aantal gadgets meegemaakt, van smartphones en iPads tot spraakgestuurde tv’s en koelkasten, alle in staat data op te nemen en over te dragen. Industriële sensoren en CCTV-camera’s dragen ook bij aan de komst van zo’n grote hoeveelheid complexe data dat er een nieuwe aanpak moet komen om de gegevens op te slaan, te beveiligen en, om privacyredenen, te verwijderen.

Om hoeveel data gaat het?

Niemand weet precies hoeveel data in de wereld bestaan, maar er is onderzoek gedaan dat beweert dat 90 % van alle gegevens momenteel in de wereld slechts in de laatste twee jaar tot stand is gekomen. Deskundigen gaan uit van miljarden informatie-eenheden per dag en door het almaar stijgende gebruik van computers en mobiele apparatuur zal dit getal alleen maar groter worden.

De komst van mobiele apparaten is de hoofdoorzaak van de groeiende datahoeveelheid. Volgens IBM is meer dan 75 % van de informatie die we dagelijks produceren ongestructureerd en komt het vooral van mobiele telefoons. Het beheren van zo’n grote dataomvang zal alleen maar moeilijker worden als je bedenkt dat het aantal aangesloten mobiele apparatuur per capita in 2020 op 1,5 wordt geschat.

Tegen die tijd zullen we ook meer dan 268 miljard apps gedownload hebben, wat meer dan 70 miljard euro aan inkomsten oplevert. Dit maakt de app wereldwijd tot een van de populairste software. Onderzoeksfirma Gartner concludeert dat mobiele gebruikers iedere dag meer dan 100 apps en diensten van persoonlijke data zullen voorzien.

Door de opeenstapeling van data en het groeiende aantal malware-aanvallen en informatielekken is de behoefte aan effectief informatiebeheer en gegevensbescherming in de spotlight komen te staan.

Recht op wissen

Als reactie op de moeilijkheden rond het beheer van big data heeft de EU een nieuwe wet geïntroduceerd om toekomstige beveiligingsrisico’s te bestrijden. De Europese privacyverordening Algemene Verordening Gegevensbescherming (AVG) versterkt het recht om gegevens te laten wissen en vergeten te worden. Deze nieuwe wet trad in april 2016 in werking en alle bedrijven die in EU-lidstaten of met bedrijven uit EU-lidstaten zakendoen moeten uiterlijk 25 mei 2018 aan de nieuwe regels voldoen.

De AVG is een belangrijke verordening die eenheid moet brengen, in plaats van de databeschermingsrichtlijn uit 1995. Bedrijven kunnen zo makkelijker begrijpen welke verantwoordelijkheden ze hebben wat betreft hun gegevensbeheer. De AVG gaat ook over andere belangrijke zaken zoals globalisering en populaire technologische ontwikkelingen zoals Facebook, Twitter, Google+ en andere sociale media. De nieuwe wetgeving omvat alle nieuwe communicatiekanalen van het digitale tijdperk en de hieruit voortkomende data.

Bij het in werking treden van de AVG moeten bedrijven in zowel de private als de publieke sector kunnen aantonen dat data overeenkomstig de nieuwe bepalingen worden verwijderd en dat zij volledig aansprakelijk zijn voor het beheer, de herziening en beoordeling van relevante dataverwerkingsprocessen. Ze moeten bereid zijn gegevensverwerking en het onnodig bewaren van data te minimaliseren en moeten voor alle data-gerelateerde handelingen veiligheidsmaatregelen nemen.

Bedrijven beginnen zich van deze nieuwe verantwoordelijkheid bewust te worden, niet in de laatste plaats vanwege de hoge boetes wanneer de wet niet wordt opgevolgd. In ernstige gevallen kunnen ondernemingen een boete opgelegd krijgen van maximaal 20 miljoen euro of 4 % van hun jaarlijkse wereldwijde omzet. Veel bedrijven zijn echter niet in het bezit van de benodigde apparatuur om aan de eisen voor dataverwijdering te voldoen. Hierbij komt dat ze wellicht niet beseffen welke risico’s er kleven aan het verzamelen van zoveel informatie en welke gevolgen beveiligingsproblemen kunnen hebben.

Nu de boetes voor het niet navolgen van de EU-wet zwaarder zijn geworden, hoe kunnen bedrijven data die ze niet meer mogen bewaren veilig verwijderen? Welke andere gevaren schuilen er achter het niet veilig wissen van gegevens die niet meer opgeslagen hoeven te worden? Hierover lees je in het tweede deel van dit artikel.