GDPR 1 jaar later: drie misvattingen die bedrijven nog steeds hebben

Jean-Michel Franco

Jean-Michel Franco, Senior Director of Data Governance Products, Talend

Ongeveer anderhalve maand geleden (op 25 mei om precies te zijn) was de Europese privacywet General Data Protection Regulation (GDPR) exact één jaar van kracht. Deze mijlpaal is een mooi moment om bedrijven eraan te herinneren wat de gevolgen zijn van het niet beschermen van data en welke procedures noodzakelijk zijn om dit te voorkomen.

Drie gangbare misvattingen die bedrijven - groot en klein – nog steeds hebben over de GDPR:

1. Toegangsrechten voor data: de achilleshiel van grote bedrijven

Omdat het overtreden van de GDPR grote boetes kan opleveren, zou je verwachten dat bedrijven er alles aan doen om compliant te zijn. Maar dat is niet altijd het geval.

De meeste bedrijven hebben de verantwoordingsplicht verbeterd door bijvoorbeeld een Data Protection Officer aan te stellen. Of ze hebben een juridisch kader voor dataprivacy ontwikkeld (of herzien), de bescherming tegen datalekken verbeterd of het toezicht verscherpt op hun identiteit en toegang. Toch blijkt uit recent onderzoek dat GDPR de praktijk van gegevensbeheer weinig heeft veranderd: zo laat het gemiddelde grote bedrijf ongeveer 17 procent van zijn gevoelige bestanden voor iedere werknemer openstaan.

Maar in tegenstelling tot wat er vaak gesuggereerd wordt, is de toegang tot persoonsgegevens niet alleen de achilleshiel van grote techbedrijven zoals Google. Onderzoek van Talend laat bijvoorbeeld zien dat slechts 17 procent van de bedrijven in het VK compliant is aan de omgang met persoonsgegevens.

Ondanks dat het nu eenvoudiger is geworden voor consumenten om hun gegevens op te vragen, worstelen veel bedrijven met de maximale reactietijd van 30 dagen. Een ding is zeker: als toezichthouders zich hierop gaan richten, worden veel bedrijven de komende tijd verantwoordelijk gehouden voor het niet naleven van de wet.

2. Dataprivacy of gegevensbescherming is niet hetzelfde als cybersecurity

Vaak wordt bij de termen dataprivacy of gegevensbescherming direct gedacht aan een dreiging op het gebied van cybersecurity. Dit is een misvatting. Daarom is het aan te raden om naast de focus op strikte beveiligingssystemen, ook de juiste processen en IT-systemen in te richten om de toegangsverzoeken tot persoonsgegevens op de juiste manier af te handelen.

De boete van Google en de groepsvordering op streamingdiensten laten zien dat organisaties zich moeten realiseren dat cybersecurity slechts een aspect is van GDPR-compliance. In feite is de grootste boete tot nu toe opgelegd voor een schending van de gegevensvergunning, terwijl de grootste groepsvordering die momenteel door toezichthouders worden behandeld, zich concentreren op toegangsverzoeken van betrokkenen. GDPR biedt organisaties de kans om de huidige relatie tussen bedrijfsprocessen, datatransparantie en privacybehoeften van klanten nader te bekijken.

3. GDPR is meer dan een juridische overeenkomst tussen klant en bedrijf

Het afgelopen jaar hebben veel bedrijven zich afgevraagd of ze GDPR-compliant zijn. Om hieraan tegemoet te komen heeft een meerderheid de keuze gemaakt voor een defensieve strategie, puur gericht op juridische- en veiligheidsgevolgen. Hierin ligt een andere misvatting verborgen: het beeld dat GDPR niets meer is dan een kwestie van rechtsgeldigheid.

GDPR is een contract tussen de organisatie en haar klanten, waarin is beschreven hoe het bedrijf van plan is de persoonsgegevens van klanten op te slaan, te verwerken en te beschermen. Voor ieder contract is er een juridisch aspect aanwezig, maar de reikwijdte is veel breder dan dat van de GDPR. Het gaat ook om het opbouwen van betere klantrelaties en ervaringen door vertrouwen te kweken. Dit is van essentieel belang omdat vertrouwen tegenwoordig cruciaal is voor bedrijven. Als klanten het contract niet waarderen of vertrouwen, zullen zij hun gegevens niet achterlaten of het bedrijf zelfs links laten liggen.

Schendingen van GDPR en de publiciteit hieromtrent schaden het consumentenvertrouwen. Meer succesvolle organisaties zijn bereid om de privacy van de consument en de klantervaring centraal te stellen. Zo kunnen bedrijven privacyportals opzetten waar klanten toegang hebben tot hun gegevens en toestemming kunnen geven voor gepersonaliseerde diensten.

Bedrijven ervaren een explosie aan datavolumes, waardoor het garanderen van goed beheerde data van fundamenteel belang is voor succes. Naarmate autonome beslissingen, ondersteund door AI en machine learning, de standaard worden, zal steeds meer focus komen te liggen op zakelijke verantwoordelijkheid.

Regulering is altijd een minimumnorm, dus bedrijven moeten ernaar streven om minimaal aan de GDPR te voldoen. Organisaties moeten fungeren als stewards, zodat gegevens worden gebruikt, opgeslagen en gedeeld op een manier die niet leidt tot misbruik door onbevoegde derde partijen. Zo krijgen ze meer vertrouwen in hun eigen gegevens - en hun klanten ook.

Meer over
Lees ook
GDPR gaat niet alleen over gegevensbeveiliging

GDPR gaat niet alleen over gegevensbeveiliging

De datum 25 mei 2018 zal (hopelijk) bij bijna elke ondernemer en bij alle IT-professionals rood omcirkeld in de kalender staan. In publicaties als deze is al heel veel geschreven over de GDPR of de AVG. Aangezien de afkortingen staan voor General Data Protection Regulation en Algemene Verordening Gegevensbescherming, ligt de nadruk op het bescherm1

‘Ik word elke week tien keer gebeld door recruiters’

‘Ik word elke week tien keer gebeld door recruiters’

De opkomst van de functionaris gegevensbescherming De deadline voor de AVG nadert. De nieuwe Europese privacywet leidt tot een enorme vraag naar functionarissen voor de gegevensbescherming. Zij vervullen immers een sleutelrol in de naleving van de AVG. Hoe kijkt data protection officer Marc French van Mimecast tegen de FG-functie aan? En wat is vo1

GDPR blog - Het register van verwerkingen…

GDPR blog - Het register van verwerkingen…

Op 25 mei is de nieuwe privacy wetgeving, de General Data Protection Regulation, van toepassing in alle Europese landen. Conform artikel 30 EU-AVG zijn organisaties vanaf 25 mei 2018 verplicht een register van verwerkingen aan te houden. Naar verwachting zal dit register bij onderzoek door de Autoriteit Persoonsgegevens één van de eerste zaken zij1