Eward Driehuis
Europa wil de data en de privacy van de burger beter beschermen. Niemand kan daar iets op tegen hebben. Pas als twee Europese regelgevingen elkaar lijken tegen te spreken, zoals bij GDPR en PSD2, wordt het een heikele zaak. Dan is het goed om terug naar de essentie te gaan: wie zijn data goed kan beveiligen en toch transparant kan maken voor de betrokken partijen, is niet alleen compliant maar ook en vooral gewoon goed bezig.
De General Data Protection Regulation, kortweg GDPR, bepaalt dat organisaties en bedrijven onder meer moeten aangeven welke personengegevens ze bewaren en waarvoor ze die gebruiken. De gegevens die je invult bij een online wedstrijd bijvoorbeeld, mogen dan in principe alleen voor die wedstrijd gebruikt worden. Consumenten kunnen eveneens vragen om hun data te wissen uit de database. Ook zijn bedrijven verplicht om een datalek binnen de 72 uur aan de overheid te melden. Bedrijven hebben nog tot 25 mei 2018 om hun zaken op orde te brengen, want vanaf dan kunnen inbreuken ook echt worden bestraft.
Daarnaast is er sinds 13 januari 2018 een nieuwe Europese betaalwet: de Payment Services Directive (PSD). Deze richtlijn moet voorkomen dat banken een concurrentieel voordeel krijgen door de gegevens van hun eigen klanten te benutten terwijl andere banken geen toegang krijgen tot deze gegevens. Dit biedt hen een completer overzicht over de activiteiten en financiële status van de klant, waardoor ze ook de interessantste aanbiedingen kunnen doen. Met de nieuwste versie van deze Europese betaalwet kunnen concurrerende financiële bedrijven ook toegang krijgen tot deze data als de klant expliciet hiervoor toestemming geeft.
Dit zou volgens de Europese overheid een boost moeten geven aan de economie, met name aan de financiële sector. Met name de fintechs, start-ups in de financiële sector met specifieke technologische oplossingen, zouden hier baat bij hebben. Deze bouwers van apps voor betalingen en andere financiële transacties zouden met de nieuwe richtlijn ook beter zicht krijgen op de specifieke behoeften van elke klant, en hier beter op kunnen inspelen.
Voordeur op dubbel slot, achterdeur wagenwijd open?
Daar lijkt niets mis mee, op het eerste gezicht. Maar wie hier even over nadenkt, merkt wel waarom met name de grote financiële instellingen hier niet blij mee zijn. Enerzijds moeten ze volgens GDPR alle mogelijke maatregelen nemen om hun klantengegevens afdoende te beschermen tegen diefstal en misbruik, anderzijds moeten ze volgens PSD2 andere financiële instellingen zomaar toegang gunnen tot deze gegevens. En wat als die de data niet voldoende beschermen? Wie is dan verantwoordelijk? De grootbanken hebben het gevoel dat ze de voordeur extra moeten beveiligen en tegelijk de achterdeur moeten openlaten. Die staat dan open voor bona fide spelers maar ook voor eender welke avonturier die zichzelf fintech noemt om vervolgens met de data aan de haal te gaan. En wie wordt dan verantwoordelijk gesteld?
Uiteraard doet deze ogenschijnlijke tegenstelling wenkbrauwen fronsen, maar in wezen zijn de richtlijnen niet tegenstrijdig. Elke organisatie heeft de verplichting om zowel de veiligheid als de transparantie van gegevens te garanderen. Zolang je de gegevens veilig stelt binnen je eigen(virtuele) bedrijfsmuren en klanten de kans biedt om die data ook aan derden ter beschikking te stellen, ben je ‘compliant’ met beide regels. Het wordt wellicht allemaal wat complexer, zowel technisch als juridisch – want de invulling van de GDPR kan dan ook nog eens per land verschillen – maar beide Europese richtlijnen zijn niet onderling in tegenspraak, zoals sommigen ons willen doen geloven.
‘Compliant’ betekent niet per se ‘secure’
Bovendien is de vraag met welke richtlijn je wel of niet compliant bent eerder een achterhoedegevecht dan een cruciaal dilemma. We mogen immers niet vergeten dat de richtlijnen er vooral zijn gekomen om ervoor te zorgen dat elke organisatie zijn uiterste best doet om alles te beveiligen, zelfs met de bijkomende verplichtingen om data ter beschikking te stellen van de klant en dus ook aan door de klant gemachtigde derden. En wie echt werk maakt van zijn beveiliging, weet dat ‘compliant’ zijn dan meestal niet volstaat. Denk maar aan het wereldwijde schandaal rond retailer Target, waar kredietkaartgegevens en andere persoonlijke data van ruim 70 miljoen klanten gestolen werden. Zij hadden enkele maanden tevoren met succes een audit doorstaan. Compliant maar niet secure dus.
Wie echt bekommerd is om de klanten en om hun data, moet een stap terugzetten en zichzelf drie vragen stellen: Welke persoonlijke data moet je beschermen? Welke risico’s zijn verbonden met inbreuk of verlies van de data? Hoeveel risico wil je toelaten?
Honderd procent veilig ben je nooit. Maar als je voldoende technologie, processen en mankracht voorziet, en als je de nodige controlemechanismen, best practices en opleidingen voorziet, zal je merken dat je niet gewoon compliant bent, maar de compliancy ver voorbij. En dat is waar je ook echt wil eindigen.
De auteur Eward Driehuis is chief research officer bij SecureLink.
GDPR versus PSD2: kroniek van een achterhoedegevecht
19 januari 2018
Kennisbank