Met nog maar drie maanden te gaan voordat de GDPR (General Data Protection Regulation) van kracht wordt, slaat de nervositeit toe. Wereldwijd is liefst 67% van de bedrijven nog niet klaar voor de nieuwe privacy vereisten. En een recente peiling van DDMA laat zien dat ook de meeste Nederlanse bedrijven nog volop worstelen met de implementatie.
Gezien de hoogte van de boetes die de Authoriteit Persoonsgeevens kan opleggen, is het alleszins begrijpelijk dat men nerveus wordt. Des te merkwaardiger is het dat bedrijven nu pas in actie komen. Zoals Matthias de Bruyne, legal counsel bij DDMA, onlangs zei tijdens een bijeenkomst over de nieuwe Europese privacyregels: 'Sommige organisaties zijn te laat wakker geworden.'
De Bruyne wijdt dit late ontwaken aan de onduidelijkheid over de exacte manier waarop ze de nieuwe Europese privacyregels moeten invullen. Bij veel bedrijven en organisaties zou dit hebben geleid tot uitstelgedrag. Maar dat vindt Nader Henein, directeur Cyber Security bij BlackBerry, een slecht argument. 'Zo ingewikkeld zijn de regels niet Deze zijn opgesteld met de belangen van het bedrijfsleven in het achterhoofd.'
Feedback van bedrijfsleven
Henein geldt als een echte expert op het gebied van GDPR. Zijn betrokkenheid bij GDPR komt niet alleen voort uit zijn werk bij BlackBerry; hij is ook lid van de International Association of Privacy Professionals (IAPP). In die rol was hij betrokken bij de gesprekken over nieuwe Europese privacywetgeving toen de EU in 2012 besloot om de bestaande gegevensbeschermingsregels te herzien.
In die tijd liep Blackberry rond met het idee om een ratingsysteem te ontwikkelen voor de privacy-gevoeligheid van mobiele apps. Aan de hand van de rating zou de gebruiker in één oogopslag kunnen zien welk apps data toegang hebben tot persoonlijke data, bijjvoorbeeld doordat ze toegang vragen tot de microfoon of de camera van een toestel, of proberen de locatie vast te leggen.
Dit ratingsysteem zou niet alleen in de app-shop van Blackberry, maar in die van alle mobiele platforms toegepast moeten worden. 'Tijdens gesprekken hierover met leden van de Europese Commissie werd duidelijk dat er veel stond te gebeuren met betrekking tot privacywetgeving. De commissie wilde graag in gesprek met de industrie over de richtlijn en hoe deze verbeterd kon worden.’
Boete is proportioneel
Het Canadese BlackBerry was een van de bedrijven die input hebben gegeven, maar ook andere bedrijven hebben volop meegedacht over de nieuwe Europese privacywetgeving. 'Het resultaat is een samenhangende set dataprotectieregels, die veel beter is afgestemd op de praktijk van het bedrijfsleven dan de voorgaande regelgeving.'
Ter illustratie gaat Henein in op de boetes die de Authoriteit Persoonsgegevens kan opleggen. In de huidige situatie zijn die afhankelijk van de overtreding, met een maximum van 820.000 euro. Een fors bedrag, maar of een bedrijf dit ook zo ervaart, zal afhangen van de omvang van het bedrijf . Een multinational tikt lachend af, terwijl een startup of mkb-bedrijf er misschien onder bezwijkt.
In de nieuwe situatie wordt de boete proportioneel gemaakt voor de omvang van een onderneming. Door een percentage van de omzet als boete op te leggen (4% van de jaarlijkse omzet, met een maximum van 20 miljoen euro), is de impact van de boete is altijd gelijk, ongeacht de omvang van het bedrijf. Henein: 'Ook voor een multinational is het geen risico dat je zou kunnen nemen.'
Effect sorteren
Een ander aanpassing betreft de meldplicht in geval van gegevensschending. ‘In de oude situatie konden bedrijven min of meer rustig achterover leunen want er was geen deadline die voorschreef binnen hoeveel tijd je melding moest maken van een datalek. Die is er nu wel. Organisaties zijn verplicht om de instanties binnen 72 uur na ontdekking van een gegevensschending te informeren.’
Het proportioneel maken van boeken en het introduceren van een strakke deadline zijn maatregelen die ertoe bijdragen dat GDPR in de praktijk straks daadwerkelijk het effect gaat sorteren dat de regelmakers beogen. Dat het een instrument wordt dat bedrijven en organisaties daadwerkelijk aanzet om op een meer zorgvuldige wijze om te gaan met de persoonsgegevens van individuen.
Echter, het zijn aanpassingen. Het is beslist niet zo dat alles nu ineens verandert. 'GDPR is een logische stap die wordt gezet op weg naar volwassenheid van Europese privacy wetgeving. De basis bestaat uit acht basisprincipes die lang geleden, in de jaren ’70 van de vorige eeuw zijn vastgelegd. In 1995 zijn die aangepast en in 2002 is er nog een update geweest, maar de kern is onveranderd.'
Overzichtelijke stap
Voor bedrijven en organisaties die Eurepese privacy wetgeving tot op heden niet hoog op de agenda hadden staan, zal het best een hele opgave zijn als ze ontdekken dat ze nu ineens alle regels moeten voldoen, veronderstelt Henein. 'Maar voor de bedrijven en organisaties die door de jaren heen geleidelijk met de veranderende regelgeving zijn meegegroeid, is dit een overzichtelijke stap .’
Los daarvan moeten we het niet ingewikkelder maken dan nodig. 'De essentie van GDPR beslaat slechts een paar velletjes A4. De overige 250 pagina’s die het document telt, bestaat uit toelichting en voorbeelden van hoe dat zou moeten gebeuren.' GDPR blinkt juist uit in eenvoud, vindt Henein: ‘Het enige wat de wetgeving vraagt, is dat je zorgvuldig omgaat met gegevens van klanten. Dat is alles.'
Dit wil zoveel zeggen als dat je informatie op dezelfde manier behandelt alsof informatie van een bekende. ‘Als ik contactgegevens krijg van jou, geef ik die niet zomaar door aan iemand anders. Dan vraag ik eerst toestemming of die persoon daar geen bezwaar tegen heeft. Dat is gewoon hoe je met elkaar omgaat. In zijn hart weet iedereen echt wel dat je informatie die aan jou is verstrekt, niet zomaar kunt doorgeven.’
Kwestie van fatsoen
Helaas is de praktijk vaak anders. ‘Grote organisaties reduceren informatie tot data. Ze zien niet wat impact is van hun gedrag op individuen. Daarom moeten we dit soort gedragsregels opschrijven. Zodat iedereen weet dat je mijn persoonlijke informatie alleen gebruikt waarvoor deze is verstrekt. Dat je deze alleen bewaart zolang je de dienst levert en niet deelt met anderen zonder mijn toestemming.'
GDPR compliance is gewoon een kwestie van fatsoen. Maar dat is niet het enige, GDPR biedt bedirjven vooral ook een grote kans. 'Producten en diensten wordten steeds meer uitwisselbaar. Banken bijvorbeeld hebben allemaal dezelfde service en dezelfde rente. Moet ik dan toch kiezen, dan kies ik de bank met de beste customer service. Voor mij is dat is de bank die mijn privacy respecteert.’
Maar als GDPR in van kracht wordt, is iedereen verplicht om de regels na te leven en biedt compliance geen onderscheidend vermogen meer. Organisaties moeten de lat dan ook hoger leggen, weet Henein. ‘Hoe je dat doet? Door de privacy van klanten echt tot de kern te maken van je bedrijfsvoering. GDPR kun je zien als het vertrekpunt van een reis, met als bestemming de realisatie van volledig transparantie.'
Datalifecycle onder de loep
Een volledig transparante organisatie behandelt persoonsgegevenszoals mensen willen dat die behandeld worden. Om dat stadium te bereiken, zullen organisaties volgens Henein 'de complete datalifecycle' onder de loep moeten nemen. Dit wil zeggen dat ze niet alleen inzichtelijk moeten maken van wie de informatie afkomstig is en met wie ze die delen, maar bijvoorbeeld ook welke dataverwerkers ze inschakelen.'
De keuze van partijen waarmee je samenwerkt op het gebied van dataverwerking moet niet afhankelijk zijn van de commerciële vraag welke leverancier het goedkoopste is of wie de snelste service biedt. 'Nee, de keuze van je verwerkingspartner behoort te zijn gebaseerd op de vraag welke aanbieder de persoonsinformatie verwerkt volgens dezelfde strenge normen die jíj daarvoor hebt gesteld.’
Een transparantie organiseert communicee in heldere, duidelijke taal en geeft de klant inzicht in wat er met zijn gegevens gebeurt. Henein: 'Als ik data verrijkt heb, moet ik probleemloos kunnen laten zien op welke manier ik dat heb gedaan. En als ik data hebt gedeeld, moet ik kunnen laten zien met wie en waarom. Hoe snel? Hoeveel tijd kost het om een bankrekening te openen? Tien minuten, hooguit.’
GDPR als actiemiddel
Een van de rechten die GDPR toekent aan de consument, is het ‘Subject Acces Request’. Volgens deze regel heeft de consument het recht om inzage te krijgen in alle informatie die over hem of haar beschikbaar is. In sommige gevallen (zoals bij een energiebedrijf) kan het daarbij gaat om enorme hoeveelheid (tekst)data, die veelal zijn verdeeld over verschillende databestanden, en die het bedrijf in korte tijd bij elkaar zal moeten zoeken. Bovendien zal een bedrijf iemand moeten inhuren om het complete pakket uitdraaien met een zwarte stift na te lezen op vermeldingen van data van andere personen.
De hoeveelheid werk die dit oplevert is zo enorm en de kosten zijn navenant hoog, dat consumenten en consuementenorganisaties het Subject Access Request kunnen inzetten als actiemiddel. Volgens Henein is dat geen denkbeeldig scenario. 'In Engeland heeft dierenrechtenorganisatie PETA gedreigd om al haar leden op te roepen een Subject Acces Request in te dienen bij een warenhuis dat bontjassen verkoopt.'
Henein vindt dit geen misbruik van de GDPR wetgeving, 'want de consument heeft het recht om de informatie die over hem of haar is vastgelegd, op te vragen.'
Maar het zal toch niet de intentie om bedrijven extra kwetsbaar te maken voor activisten? Henein: ‘Nou ja, mocht het echt uit de hand lopen, dan kunnen we altijd nog GDPR amenderen. De commissie die de GDPR regels heeft opgesteld, zal zeker een luisterend oor hebben. De afgelopen jaren hebben mij tenminste geleerd dat ze open staan voor feedback uit het bedrijfsleven.’