Waarom GDPR niet uitsluitend multinationals aangaat

Waarom GDPR niet uitsluitend multinationals aangaat

Het is breed uitgedragen in de media en bij veel bedrijven leeft het; vanaf 25 mei dit jaar gaat de GDPR wetgeving kracht. Vanaf dit moment zal de Autoriteit Persoonsgegevens de wet actief gaan handhaven. Het lastige hieraan is dat nog niemand precies weet wat deze handhaving in de praktijk gaat betekenen. De verwachting is dat eerst ‘de grote jongens’ als Facebook, Google en Mircosoft onder de loep worden genomen. Eventuele rechtzaken die hier uit volgen zullen breed worden uitgedragen in de media om een voorbeeld te zetten voor de rest.

Maar hoe gaan kleinere bedrijven hier mee om? Ik merk zelf een driedeling als het gaat over hoe organisaties zelf tegen GDPR handhaving aan kijken:

  1. Een grote groep organisaties zien de ernst van GDPR in, en doen er alles aan om voor 25 mei compliant te worden en aan hun beleid op orde te hebben. 
  2. Vervolgens is er de groep die de ernst inziet van GDPR, maar er bewust voor kiest om pas te gaan acteren op het moment dat ze wellicht ooit in de toekomst gecontroleerd gaan worden.
  3. Ten slotte is er een groep die er vanuit gaat dat GDPR veel te veel opgeblazen en gehyped is, maar dat er in de praktijk nauwelijks handhaving plaats zal vinden. Vanuit die redenatie ondernemen ze op dit moment nog geen actie.

Wat is wijsheid? De tijd zal het leren.

De Autoriteit Persoonsgegevens heeft er zin in

Vorig jaar was ik aanwezig bij een big data beurs, en heb hier een lezing bijgewoond van een spreekster die zelf in Brussel is geweest en persoonlijk heeft gesproken met de hoofdverantwoordelijke voor de GDPR handhaving. Haar boodschap: ze hebben er zin in. De Autoriteit Persoonsgegevens (AP) is van plan er zeer actief mee aan de slag te gaan.

Zoals ik eerder aangaf, wordt GDPR inmiddels breed uitgedragen in de media. Je kunt bijna niet meer in de auto naar de radio luisteren, zonder een reclamespot te horen waarin je wordt gewezen op GDPR handhaving en je rechten als data subject. Er wordt veel moeite gestoken in communicatie campagnes om bewustwording te creeëren bij mensen over hun rol in hun online privacy.

Klokkenluidersprincipe

Daarmee kom ik op het punt waarom GDPR niet alleen de multinationals aangaat. Nee, de Autoriteit Persoonsgegevens heeft niet de mankrachten, noch überhaupt de wens om álle organisaties te checken op GDPR compliancy. Echter, je kunt als organisatie wel bij de Autoriteit Persoonsgegevens op de rader komen als zij (meerdere) klachten binnenkrijgen over GDPR gerelateerde zaken.

De site van de Autoriteit Persoonsgegevens heeft een hele mooie CTA in de header, ‘tip ons’. Officieel ben je als organisatie verplicht te melden in je privacy statement dat data subjecten het recht hebben hun beklag te kunnen doen. Idealiter verwijs je zelfs netjes naar de site van de Autoriteit Persoonsgegevens.

Ik moet zeggen, ik heb zelf ook al een lijstje klaarliggen met bedrijven waarbij ik toch eens even wil gaan informeren welke persoonsgegevens ze van mij hebben opgeslagen. Het ligt niet in mijn aard om deze partijen direct aan te geven bij de AP op het moment dat ik vreemde zaken tegenkom. Maar ik ben heel benieuwd hoeveel mensen zich gaan beroepen op hun rechten en eventueel klachten in gaan dienen, nu de mogelijkheid er komt en er veel aandacht aan wordt besteed.

Moet ik me nu zorgen gaan maken?

Nee dat hoeft niet. Zelfs al kom je op de radar van de AP en krijg je een controle, dan is de kans klein dat je direct een boete krijgt. En of het überhaupt zo ver komt, is zoals gezegd ook nog niet duidelijk. Echter kun je beter het zekere voor het onzekere nemen. Vanuit mijn optiek adviseer ik daarom wel om GDPR compliant te worden en te voldoen aan de gestelde eisen. Ik verwacht hoe dan ook dat GDPR niet alleen de grote bedrijven aan zal gaan. Better be safe than sorry! 

Meer weten?

Benieuwd waarom de GDPR is ingevoerd? Lees hier waarom. We hebben ook nog een paar tips voor je klaargezet, voor het verkrijgen van consent met je cookie notificatie. Wil je weten wat jouw organisatie moet doen om aan de regels van GDPR te voldoen?

Gepubliceerd op: 22 februari 2018