Door Jan-Jitze Hees en Jeroen van Nieuwkerk GDPR en privacy, een nieuwe wind op komst?Tot nu toe hebben we een aantal praktische zaken bekeken om de GDPR handen en voeten te geven binnen een organisatie. Maar is het wel écht zo nodig om de Europese privacyregels te implementeren? Wat gebeurt er eigenlijk als je dat niet doet? Kortom, is de GDPR een papieren tijger of een nieuwe wind die gaat waaien? |
Hopelijk heb je al enigszins een beeld kunnen krijgen van het soort organisaties waarvoor GDPR implementatie relevant is. In de kern gaat het om de overheid, publiekrechtelijke diensten en middelgrote & grote organisaties, zoals een verzekeringsmaatschappij, een ministerie of een internetprovider.
Wat gebeurt er als je niet compliant bent met de GDPR?
De maximale boete is 20miljoen, of 4% van de wereldwijde jaaromzet (afhankelijk van welke hoger is) indien niet aan de nieuwe eisen wordt voldaan. Dat is dus nogal een fors bedrag. Bovendien kan de Autoriteit Persoonsgegevens (AP) een organisatie corrigerende maatregelen opleggen.
Een gevolg dat misschien nog wel een grotere impact heeft, is de afbreuk van vertrouwen bij klanten, cliënten, leden, werknemers en aandeelhouders. Onzorgvuldige naleving of beveiliging kan immers betekenen dat zij daar de dupe van worden. Niemand wil natuurlijk dat zijn persoonsgegevens op straat liggen. Hierdoor kan dus een vertrouwenscrisis ontstaan, met alle gevolgen van dien.
Een gevolg dat misschien nog wel een grotere impact heeft, is de afbreuk van vertrouwen bij klanten, cliënten, leden, werknemers en aandeelhouders. Onzorgvuldige naleving of beveiliging kan immers betekenen dat zij daar de dupe van worden. Niemand wil natuurlijk dat zijn persoonsgegevens op straat liggen. Hierdoor kan dus een vertrouwenscrisis ontstaan, met alle gevolgen van dien.
Een situatie die hier in een bepaalde opzicht op lijkt, is de huidige controverse omtrent het gebruik van fipronil door Chickfriend bij verschillende kippenstallen. De regels omtrent deze pesticide waren overtreden. De Nationale Voedsel- en Waren Autoriteit (NVWA) had hierover meldingen ontvangen. Betrokkenen kunnen tenslotte een klacht indienen bij de toezichthouder. Vervolgens heeft de NVWA hier ingegrepen en corrigerende maatregelen opgelegd aan alle betrokken partijen.
Daarmee hebben pluimveehouders niet alleen eieren moeten vernietigen, dit is ook uitgebreid in het nieuws gekomen en op social media besproken. En je kunt op je klompen aan voelen dat Chickfriend en andere bedrijven hierdoor forse verliezen zullen leiden. De toekomst zal uitwijzen hoeveel bedrijven dit financieel kunnen overleven.
Als bij een zorgverzekeraar of een internetprovider, persoonsgegevens gelekt zijn, kan media aandacht dus ook zorgen voor een vertrouwenscrisis met eventueel zelfs onherstelbare reputatieschade. Eveneens een interessante gelijkenis hierbij is dat de fipronil-zaak ook gebaseerd is op de overtreding van Europese wetgeving. Bovendien heeft de verwerking en opslag van (persoonlijke) data, net zoals verwerking van voedsel, vaak een transnationaal karakter.
Daarmee hebben pluimveehouders niet alleen eieren moeten vernietigen, dit is ook uitgebreid in het nieuws gekomen en op social media besproken. En je kunt op je klompen aan voelen dat Chickfriend en andere bedrijven hierdoor forse verliezen zullen leiden. De toekomst zal uitwijzen hoeveel bedrijven dit financieel kunnen overleven.
Als bij een zorgverzekeraar of een internetprovider, persoonsgegevens gelekt zijn, kan media aandacht dus ook zorgen voor een vertrouwenscrisis met eventueel zelfs onherstelbare reputatieschade. Eveneens een interessante gelijkenis hierbij is dat de fipronil-zaak ook gebaseerd is op de overtreding van Europese wetgeving. Bovendien heeft de verwerking en opslag van (persoonlijke) data, net zoals verwerking van voedsel, vaak een transnationaal karakter.
Hoe waarschijnlijk is een fipronil-scenario?
De Europese privacyverordening kent dus concrete consequenties toe aan het niet voldoen aan de nieuwe privacy eisen. Maar dan blijft nog de vraag: hoe waarschijnlijk is het scenario dat de Autoriteit Persoonsgegevens de privacyregels daadwerkelijk handhaaft? Tenslotte zijn corrigerende maatregelen van de AP tot op het heden niet zó massaal in het nieuws gekomen. Bovendien heeft een vertrouwenscrisis omtrent de verkoop van eieren waarschijnlijk een groter uitstraaleffect op de gehele sector dan wanneer een organisatie de privacyregels overtreedt.
In de afgelopen jaren heeft de toezichthoudende rol van de Autoriteit Persoonsgegevens zich aanzienlijk verstevigd. Met de AVG krijgt de autoriteit bovendien meer bevoegdheden om privacyregels af te dwingen. In tegenstelling tot de eerdere Europese richtlijn omtrent privacy, is de AVG een Europese verordening. Een Europese verordening is veel dwingender dan een richtlijn. Brussel geeft hier dus eigenlijk eveneens mee aan, dat privacy hoger op de agenda is komen te staan dan voorheen.
Net zoals bij het weer, blijft het uiteraard altijd lastig om de toekomst precies te voorspellen. Desalniettemin zijn er wel een aantal concrete aanwijzingen die laten zien dat deze wetgeving actiever zal worden gehandhaafd. Zo heeft de Autoriteit Persoonsgegevens de pensioensector laten weten dat 'Van uitstel kan geen sprake zijn’ en dat er daadwerkelijk gehandhaafd gaat worden. Al met al lijkt het er dus op dat er met de GDPR inderdaad een nieuwe wind zal gaan waaien in het privacy domein.
In de afgelopen jaren heeft de toezichthoudende rol van de Autoriteit Persoonsgegevens zich aanzienlijk verstevigd. Met de AVG krijgt de autoriteit bovendien meer bevoegdheden om privacyregels af te dwingen. In tegenstelling tot de eerdere Europese richtlijn omtrent privacy, is de AVG een Europese verordening. Een Europese verordening is veel dwingender dan een richtlijn. Brussel geeft hier dus eigenlijk eveneens mee aan, dat privacy hoger op de agenda is komen te staan dan voorheen.
Net zoals bij het weer, blijft het uiteraard altijd lastig om de toekomst precies te voorspellen. Desalniettemin zijn er wel een aantal concrete aanwijzingen die laten zien dat deze wetgeving actiever zal worden gehandhaafd. Zo heeft de Autoriteit Persoonsgegevens de pensioensector laten weten dat 'Van uitstel kan geen sprake zijn’ en dat er daadwerkelijk gehandhaafd gaat worden. Al met al lijkt het er dus op dat er met de GDPR inderdaad een nieuwe wind zal gaan waaien in het privacy domein.
De zeilen bijzetten?
Het kan vooralsnog een flinke uitdaging zijn om de nieuwe privacy-eisen, snel en kwalitatief hoogwaardig uit te voeren in de praktijk. De hands-on workshops van Transcriptum kunnen daar meer inzicht in geven. Mocht u zich hiervoor willen aanmelden, klik dan hier.