GDPR na de deadline: “Nog veel te doen, maar raak niet in paniek door spookverhalen”

GDPR na de deadline: “Nog veel te doen, maar raak niet in paniek door spookverhalen”

De GDPR-deadline is ruim een week verstreken en de wereld bestaat nog. Toch zijn er nog altijd veel bedrijven die niks hebben geregeld voor deze Europese privacywet of zich zorgen maken dat ze ondanks hun inspanningen niet aan de wet voldoen. Reden voor Marketingfacts om het eens te vragen aan iemand die bedrijven hier dagelijks over adviseert. Jeremy Bode is als Senior Data Protection Officer specialist op het gebied van security, privacy en techniek bij DPO Consultancy. Waar moeten bedrijven op letten? "Al die AVG-mailtjes zijn eigenlijk helemaal niet nodig."

De deadline om te voldoen aan de GDPR/AVG is gepasseerd. Uit onderzoek vooraf bleek dat veel bedrijven er niet klaar voor waren. Hoe denk jij dat het daar nu mee staat: is men inmiddels wél klaar voor de nieuwe privacywet?

"Ik denk niet dat het bedrijfsleven er al klaar voor is", zegt Jeremy Bode (DPO Consultancy), die bedrijven adviseert over onder meer de Algemene Verordening Gegevensbescherming (AVG). "Er zijn veel bedrijven die vóór de deadline nog hebben geprobeerd een sprintje te trekken om te voldoen aan de GDPR, maar als je op 20 mei nog moet beginnen, ben je wel aan de late kant. Sterker nog, als je in januari was begonnen had je wellicht nog moeite gehad met de deadline. Nu moet ik er ook bij vermelden dat het compliant worden als doel naar mijn mening niet het belangrijkste is. Het belangrijkste is dat bedrijven een GDPR-mindset gaan creëren en uiteindelijk gaan handelen conform nieuwe richtlijnen. Met in het achterhoofd dat de bescherming van de betrokken personen altijd voorop staat. Hierbij is awareness ontzettend belangrijk en wij zien, ook bij organisaties die al wel compliant zijn, dat hier nog onvoldoende aandacht aan wordt besteed."

"Het belangrijkst is dat bedrijven een GDPR-mindset creëren"

Stond jullie telefoon roodgloeiend op de dagen rond de deadline? Wat was de meest gestelde vraag?

"Wij zijn rond de deadline inderdaad erg veel benaderd door bedrijven die eigenlijk om hulp vragen. Het is voor veel mensen een 'vage' wetgeving waarin niet precies staat wat ze moeten doen. Daarnaast leest men op social media ontzettend veel spookverhalen en hierbij is het belangrijk om de feiten van fictie te onderscheiden. Natuurlijk moet er veel gebeuren, maar raak vooral niet in paniek."

Hoe heb jij als Data Protection Officer gekeken naar de tsunami aan GDPR-mails die over ons heen is gestort? Zijn dergelijke mails echt nodig?

"Ook ik ontvang dezer dagen ontzettend veel e-mails van bedrijven met de vraag of ik mijn toestemming wil geven om in de database te blijven. Vervolgens reageer ik niet en krijg ik een email met dat ze mij uit de database gaan verwijderen en dat erg jammer vinden.

Deze mailtjes zijn, als je het goed bekijkt, eigenlijk helemaal niet nodig. Als je een dergelijke email moet sturen, heb je in het verleden je zaken niet op orde gehad op dit gebied. Dit is namelijk niet zozeer een GDPR-onderwerp, maar eerder een artikel uit de Telecomwet. Deze wet is al langer actief. Ik ben wel benieuwd hoeveel mensen straks hun nieuwe rechten gaan uitoefenen die ze met ingang van 25 mei hebben gekregen en hoeveel bedrijven hier ook adequaat op kunnen reageren."

Wat is de meest gemaakte fout bij dat soort mails?

"De vaak terugkerende fout die ik nog steeds zie is een te ingewikkeld privacy-statement waarbij alleen wel of geen akkoord kan worden gegeven. Wie niet akkoord gaat, kan geen gebruik meer maken van de diensten. Dat is niet helemaal de bedoeling. Men dient een keuze te hebben om iets wel of niet te accepteren, dit moet los staan van het gebruik van een bepaalde dienst. Goed voorbeeld hierbij zijn cookies. In de marketingwereld zie je veel cookie-walls. Je accepteert ze, zo niet, kan je de website niet raadplegen. Dat gaat wat ver."

"Autoriteit Persoonsgegevens staat niet morgen al bij je op de stoep, tenzij jouw bedrijf veel klachten krijgt"

Welke andere bottlenecks zijn het belangrijkst voor bedrijven om goed geregeld te hebben: verwerkersovereenkomsten, privacybescherming of wellicht dataportabiliteit?

"Dit is afhankelijk van het type bedrijf. Zelf ben ik onder andere DPO voor een energiebedrijf. In dat geval is dataportabiliteit hoge prioriteit, maar met name het goed inrichten van de complete set aan rechten van betrokkenen. In het algemeen geldt voor iedere organisatie dat awareness bij alle medewerkers eigenlijk altijd bovenaan moet staan. Je kan het op ICT- of juridisch gebied nog zo goed hebben ingericht, maar als de persoon tussen het beeldscherm en de bureaustoel op een verkeerde link klikt en daardoor een datalek veroorzaakt, heb je niet zo veel aan de rest."

Hoe serieus is het risico dat je als bedrijf op korte termijn wordt beboet als je niet aan de wet voldoet?

"De Autoriteit Persoonsgegevens heeft al aangegeven dat ze absoluut gaan controleren. Echter: zij hebben momenteel een personeelstekort en zullen zich op bepaalde branches gaan richten om mee te beginnen. Ik verwacht niet dat ze volgende week op de stoep staan bij het MKB, maar zeg nooit nooit.

Naast boetes is er naar ons idee nog een andere risicofactor die wellicht nog zwaarder weegt dan de boete zelf. Dat is het recht om een klacht in te dienen bij de AP over een organisatie. Je kan je zo voorstellen dat als er maar voldoende klachten over jouw bedrijf binnenkomen, de AP binnenkort echt wel een keertje langs gaat komen.

​"GDPR-beleid is altijd maatwerk, geen one-size-fits-all oplossing"

ls je het als bedrijf echt een beetje bont hebt gemaakt, heb je ook nog artikel 82 AVG, waarin staat dat men het recht heeft om schadevergoeding te ontvangen. Mocht je als betrokkene kunnen bewijzen dat er schade is aangedaan door bijvoorbeeld verkeerd gebruik van jouw gegevens, dan gaat er worden bepaald hoeveel schadevergoeding moet worden betaald aan de betrokkene. Naast materiele schade is met name de immateriële schade een hoger risico omdat je ‘naam’ hiervan afhankelijk is."

Wat is eigenlijk het grootste misverstand over de GDPR?

"Voorafgaand aan de deadline hebben wij een aantal keer gehoord van partijen dat die GDPR 'wel weer overwaait'. Op dat moment moet je iemand gaan uitleggen dat dit een Europese verordening is, handhaving al sinds heel lang vaststaat vanaf 25 mei 2018 en dat dit binnen heel Europe geldt. Het gaat daarom niet overwaaien of uitgesteld worden. Dit is de datum en zoals onze vrienden met de blauwe envelop altijd zeggen: leuker kunnen we het niet maken, wel makkelijker. Eentje die ik ook niet zal vergeten is een advertentie die ik tegenkwam op LinkedIn waarbij stond: 'Koop dit apparaat, dan ben je compliant.' Helaas bij de GDPR is er geen one-size-fits-all oplossing. Het is en blijft maatwerk voor iedere organisatie."

Heb je nog een gouden tip voor bedrijven?

"Zorg ervoor dat je in kaart brengt wat er nog gedaan moet worden. Neem de nodige maatregelen en besteed hierbij veel aandacht aan awareness. Evalueer je maatregelen. En herhaal dit op jaarlijkse basis.

Niet om voor eigen parochie te spreken, maar als je twijfelt of je voldoende kennis in huis hebt, zorg ervoor dat je een partij inschakelt die je hierbij kan helpen. Het is niet iets dat je op een regenachtige zondagmiddag ‘even erbij’ doet. Het is ingewikkelde materie die veel aandacht vereist binnen organisaties."

Credits afbeelding: Pixabay, licentie: CC BY-NC-ND (Niet-commercieel hergebruik)

Delen

0
0


Er zijn 2 reacties op dit artikel

  • De laatste tijd is er al heel veel geschreven over bedrijven die moeilijkheden hebben om hun zaken op orde te stellen om AVG compliant te zijn.
    Alle berichten die ik lees gaan over bedrijven, maar gesteld word dat ook sportverenigingen en andere verenigingen hieraan moeten voldoen. Waar is informatie te vinden hoe dit voor verenigingen ingericht kan worden. Hoe staat het met een boete voor een vereniging aangezien deze geen jaar omzet hebben?

    geplaatst op
  • Dat is een terechte vraag, Tjeu. Ook verenigingen krijgen met deze nieuwe privacywet te maken. Rondvraag leert mij dat de Autoriteit Persoonsgegevens zich mede door beperkte bezetting primair gaat richten op 'grote vissen', dus niet direct op kleine verenigingen. Tenzij een vereniging veel klachten krijgen over het niet voldoen aan de AVG.

    Voor (sport)verenigingen schijnt er een Stappenplan AVG te zijn ontwikkeld. Wellicht bieden onderstaande linkjes hierover meer duidelijkheid:
    https://sport.nl/voorclubs/nieuws/2018/01/aan-de-slag-met-privacy-in-de-sportvereniging
    https://www.badminton.nl/nieuws/aan-de-slag-met-privacy-in-de-sportvereniging

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.