GDPR, FUD en legacy

Vorige week werd in Berlijn de 11e editie van re:publica, de grootste Europese conferentie voor de “net community”, gehouden. De ruim 7.000 bezoekers konden naar 520 presentaties en talks luisteren of meedoen met de talloze workshops. Hoog op de agenda stond dit jaar, naast blockchain en industrie 4.0, de GDPR.

Blockchain en Industrie 4.0 (dat is in Duitsland de gangbare term waarmee zowel smart industries als IoT wordt bedoeld) vallen vooralsnog te veel buiten de scope van ISP Today, GDPR is natuurlijk een 100% hit. Ongeveer een dozijn presentaties en dergelijke ging over deze mijlpaal van Europees beleid. Iedereen weet dat het per mei 2018 in alle lidstaten moet zijn geïmplementeerd en de eigen rol bepaald sterk of het als kans of bedreiging wordt gezien.

Maximale FUD

Een voorbeeld van dat laatste was een spreker van een bekende Duits tijdschriften uitgever. In het kader van complete FUD beweerde hij met droge ogen dat door de GDPR bloggen en online publiceren een snelle dood zou sterven. Want, zo beredeneerde hij, een citaat of quote koppelen aan een persoon maakt er een persoonsgegeven van en daarvoor is altijd toestemming vooraf nodig. Dus beste bloggers, hang je toetsenbord maar snel in de wilgen, want voor jullie breken barre tijden aan. Deze onzin werd met verbazing aangehoord en de reacties waren ook niet mals. “De slechtste een domste presentatie ooit” werd getweet en geschreven. Gelukkig was het een uitzondering en toonden de andere sprekers meer kennis van de materie te hebben.

GDPR is een zegen

Tot de betere talks over het onderwerp behoorde de workshop annex voordracht van Marco Maas (journalist bij OpenDataCity) en Daniel Mossbrucker (Internet Freedom Desk Officer bij Reporters Without Borders). Hier waren twee mensen van de praktijk, die ook nog eens de nodige kennis van de achterliggende techniek hadden, aan het woord. Wat zij aangaven en met voorbeelden illustreerden ging vooral over de uitgeverij, maar geldt ook voor andere sectoren. Wat zij betoogden kwam er op neer dat de GDPR een zegen is voor iedereen die of zijn zaken op orde heeft of die pas heel laat in de markt is gestapt en daardoor geen legacy heeft. Uitgevers die al eeuwen actief zijn hebben geen zicht op wat zijn aan data hebben verzameld en hoe dat is opgeslagen. Zeker rond de millenniumwisseling is men als een gek data gaan verzamelen, deels op systemen of met toepassingen die het nu amper nog doen. Om daar nog mee om te kunnen gaan is kennis van uiteenlopende externe partijen nodig (daartoe werden expliciet providers toe gerekend). Het contrast met iemand die minder dan 5 jaar geleden is begonnen op basis van een heldere IT architectuur kan niet groter zijn. Die weet waar de data staat, hoe die te benaderen is en wie hem daarbij kan helpen. Die jonge uitgever (of webshop) kan dus veel makkelijker stellen in control te zijn.

Legacy als valkuil en opportunity

Legacy is vanuit GDPR perspectief een valkuil, waarvan niet bekend is waar die zich bevindt en of het er meer dan een is. Dat was dan ook een van de tip voor de aanwezigen: als je al een tijdje data verzamelt laat dan eens door de bedrijven waar je IT diensten van af neemt (hosting, storage, cloud evenzo als het interne netwerk tot zover dat er nog is) in kaart brengen wat je precies afneemt en waar zich databases, actieve en slapende, zijn die persoonlijke gegevens bevatten.

Wat Maas en Mossbrucker niet zeiden is dat je het ook kunt omdraaien. Als aanbieder van IT diensten kun je daar natuurlijk zelf mee aan de slag door je klanten te informeren wat de risico’s zijn van al die ongedocumenteerde, slecht bijgehouden databases. Maak van die valkuil een business opportunity.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.