Finance

Deel via:

GDPR is al ingewikkeld genoeg, een goudkoorts lost niets op

Zoals velen van jullie weten gaat vanaf 25 mei volgend jaar een nieuwe Europese privacywetgeving van kracht. Die nieuwe privacywet hanteert forse boetes bij een verkeerde verwerking van de data van een ‘natuurlijk persoon’, ofwel persoonsgegevens. De maximale boete bedraagt 4 procent van de jaaromzet of 20.000.000 euro, afhankelijk van welk bedrag het hoogst uitvalt. Bij minder grote vergrijpen is de iets mildere boete van 2% van de jaaromzet of 10.000.000 euro nog altijd potentieel desastreus.

Ten opzichte van de vorige privacywetgeving is de definitie van persoonsgegevens flink uitgebreid. Het omvat nu ook content die ervoor zorgt dat iemand, of zelfs maar software, een link kan leggen tussen die data en een persoon. Zo kan een IP-adres onder de nieuwe wetgeving ook een persoonsgegeven zijn. 

Waarom het lastig is

 GDPR is van toepassing op iedere organisatie die binnen de EU persoonsgegevens bewaart of verwerkt. De autoriteit van GDPR treedt in werking door de activiteit van een persoon binnen de grenzen van de Unie, en is niet afhankelijk van de nationaliteit van de persoon op dat moment.

Daarnaast is de autoriteit van GDPR niet afhankelijk van het land waarin de verwerking plaatsvindt. Het kan dus van toepassing zijn op een Zuid-Afrikaan die een online aankoop koopt vanuit zijn hotelkamer in Frankrijk, bij een bedrijf in de VS. In dat geval moet ook dat bedrijf zich netjes houden aan GDPR. 

Hoe ver reikt de invloed

GDPR heeft betrekking op: 

– Niveaus van belangrijkheid van persoonsgegevens
– Het recht om vergeten te worden
– Afspraken over dataretentie
– Meldplicht datalekken binnen 72 uur na een significant cyberincident
– Protection by design / protection by default
– Dataportabiliteit
– Restricties rondom profiling

Organisaties vanaf een bepaalde grootte zijn verplicht om een Data Protection Officer (DPO) aan te stellen. Tot de taken van een DPO behoren onder andere het aantonen van GDPR-compliance aan de Autoriteit Persoonsgegevens. Ze zijn onafhankelijk van het bestuur en hebben compliance, businesprocessen en digitale weerbaarheid in hun portefeuille.

39 van de 99 artikelen van de GDPR-artikelen vereisen een bewijs van een compliance of een proces. De potentiële bewijslast en zorgvuldigheid komen haast afschrikwekkend over. En sommige termen in de verordening vereisen nog steeds aanvullende uitleg. 

Wat helpt organisatie niet?

 GDPR is een van de meest ingrijpende en corrigerende regelgevingen ooit. Dit is waarschijnlijk de reden waarom bedrijven meer dan twee jaar de tijd hebben gekregen om de nodige wijzigingen aan te brengen om in mei 2018 te voldoen aan de regelgeving. En dat is ook de reden waarom de nieuwe wet- en regelgeving dit jaar een enorme goudkoorts heeft uitgelokt.

Deze goudkoorts kenmerkt zich door de opkomst van start-ups, slimme nieuwe nicheoplossingen en aanpassingen van bestaande oplossingen (die klinken alsof ze meer dan ze eigenlijk doen). Gooi verwante buzzwords zoals IoT, IoE, Industry 4.0 en je hebt een complexe en uitdagende markt bevolkt met veel rumoer over GDPR compliance-aanbiedingen. Het is lastig om daartussen de relevante spelers te vinden. 

Wat helpt organisatie wel?

 Wat zij wel nodig hebben is een uitgebreide beschrijving van de vereisten, een pragmatische roadmap voor adoptie en een kosteneffectief holistisch platform dat die roadmap levert.

GDPR beslaat vele aspecten en vereist a) een breed scala aan oplossingsmogelijkheden om alle aspecten te bestrijken en b) de noodzakelijke onderlinge verbondenheid ervan. Ik ben blij om te zien dat we de unieke breedte hebben om dit aan te bieden.

 


 

Reageren op dit blog?