GDPR is best wel een dingetje

Afgelopen week verzuchtte een Noord Hollandse internetondernemer online “dat whois en GDPR is best dingetje”. Hij liet doorschemeren dat er voor de houders van whois en zij die gewend zijn daarmee te werken na 25 mei 2018 het nodige kan en moet veranderen. Dat klopt, maar is dat het enige waar de registrar, hoster, colo aanbieder in het land mee te maken krijgen?

Eerste kennismaking

Het antwoord is uiteraard nee. De whois is slechts een van de bestaande “procedures” die door de GDPR moeten veranderen. Dat hierbij de belangen van de partijen niet hetzelfde zijn verbaast niet. In de loopgraven die zijn gegraven zie je de partijen die altijd al voor vuurwerk zorgen. Wat de uitkomst van die discussie, annex strijd, gaat worden is nog niet te voorspellen. Wat wel onthouden moet worden is dat een deel van de weerstand komt van partijen die niet begrijpen dat de EU iets kan opleggen dat gewoon mondiale werking heeft. De artikelen en discussies die je met name op Amerikaanse fora en blogs hierover kunt lezen zijn wat dat betreft leerzaam. Wij in Nederland zijn al veel meer gewend aan EU regelgeving, voor velen buiten de EU lijkt dit een eerste kennismaking te zijn.

Whois niet het enige

Maar zoals gezegd is de whois van menig registry niet het enige dat door de GDPR op de schop genomen moet worden. De basis van de GDPR is immers het opslaan en bewerken van data van EU ingezetenen in niet EU landen. We kijken daarvoor snel naar de grote Amerikaanse cloud providers en social media als partijen die daardoor geraakt worden. Die zijn redelijk actief als het om de GDPR gaat. Datacenters in de EU uit de grond stampen, in de EU rechtspersonen oprichten om de lokale business af te wikkelen. Het zijn allemaal stappen die ze in hoog tempo zetten om aan de GDPR te kunnen voldoen.

Internet bestaat echter uit meer dan alleen de domeinnaam business, de hyperscalers en social media. Het draait om de mensen die de diensten in de lucht houden, de hardware die daarvoor nodig is, de connectiviteit en nog veel meer. Voor al die schakels geldt dat je als ondernemer per uiterlijk 25 mei 2018 inzichtelijk moet hebben of ze in aanraking komen met persoonsgegevens uit jouw omgeving, wat ze daarmee doen en je moet kunnen aangeven dat het binnen de kaders van de GDPR valt.

Een paar GDPR valkuilen

Die laatste zin klinkt makkelijk, maar is niet vrij van valkuilen. Om er een paar te noemen: je weet dat de GPDR eisen oplegt aan de manier waarop je omgaat met klantdata. Heb je scherp op het netvlies dat het ook geldt voor de tot personen herleidbare data van je medewerkers, externe klussers en leveranciers? Begrijp je dat dat ook omgekeerd geldt, dus dat je leveranciers en externe klussers ook goed met jouw data moeten omgaan? Dat laatste navragen kan best interessante discussies opleveren, omdat het niet zo is dat de grote vendoren of klusbedrijven de zaken beter voor elkaar hebben dan de eenpitter die een paar uur per week je boekhouding doet.

De laatste heeft namelijk voor zijn business maar een paar programma’s en devices nodig. Dat overzicht past makkelijk op een excel / powerpoint sheet. Vendoren en dergelijke met landenvestigingen, resellers, externe onderhoudsbedrijven en complexe CRM systemen hebben daar een fors groter probleem.

Continuïteit en overzicht

En dan is er nog de continuïteit. GDPR is niet als een zwemdiploma dat je op uiterlijk 25 mei behaald moet hebben en kunt inlijsten. Je moet 24/7/365 in staat zijn aan te tonen wat je doet om daaraan te voldoen. De enige manier omdat te realiseren is zorgen dat de overzichten onderling vergelijkbaar zijn, met andere woorden er moet het nodige gestandaardiseerd worden.

Daarom is GPDR best wel een dingetje. De whois discussie is daar echt niet meer dan 1 aspect van. Belangrijk, dat wel, maar dat geldt voor zo ongeveer alles van dit prachtige stukje Europese wetgeving.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.