Waarmee kunnen wij u helpen?

    Opinie

    Paniek rondom nieuwe Europese privacywet is helemaal niet nodig

    Eind deze week treedt de nieuwe Europese privacywet, de GDPR, eindelijk echt in werking. Al langer is bekend dat veel organisaties deze ‘deadline’ om er aan te voldoen niet zullen halen, ook al hadden zij hiervoor twee jaar de tijd. Een schrale troost: acht van de 28 EU-lidstaten hebben op 25 mei aanstaande nog niet eens de nieuwe privacyregels omgezet in hun lokale regelgeving.

    Onze overheid was zelf maar nipt op tijd. Twee weken geleden is het Nederlandse implementatievoorstel voor de GDPR goedgekeurd. GDPR-compliant worden, is belangrijk, maar momenteel is de gekte rondom de GDPR buitenproportioneel, met alle risico’s van dien. Organisaties en ook degenen van wie de gegevens worden verwerkt, zijn daarbij niet gebaat. De datum van 25 mei is geen deadline, maar een markeerpunt.

    Onder dreiging van torenhoge boetes, in combinatie met een grote dosis stemmingmakerij en hardnekkige misverstanden, laten organisaties, groot én klein, zich al maandenlang — maar nu explosief — verleiden tot ongekende paniekacties. Ook de media dragen daaraan bij. In plaats van de naleving te bevorderen, vliegen verkeerde adviezen je om de oren. Daardoor gaan zelfs de meest basale dingen fout. Een paar voorbeelden.

    Vanwege het momentum van de GDPR bombarderen organisaties thans hun klanten en prospects met ‘we want to stay connected with you’ e-mail berichten. De ontvangers van de berichten wordt gevraagd om alsnog hun toestemming te geven voor het krijgen van interessante nieuwsuitingen van de organisatie, terwijl hun toestemming hiervoor vaak helemaal niet nodig was. Sterker nog, het vragen van de toestemming per e-mail leidt veelal zelfs tot schending van het spamverbod. Misschien het meest bizarre van het geheel is nog wel dat de komst van de GDPR de regels rond direct marketing helemaal niet aangepast heeft.

    Een tweede voorbeeld zijn de inmiddels befaamde verwerkersovereenkomsten die in het wilde weg worden rondgestuurd. Een verwerkersovereenkomst moet alleen worden gesloten met partijen die de persoonsgegevens ook echt alleen volgens de instructies van de opdrachtgever mogen verwerken, zoals een IT-dienstverlener of een salarisverwerkingsbureau, en niet bijvoorbeeld een leasemaatschappij of een pensioenfonds. Eveneens zijn verzoeken om GDPR-proof verklaringen te ondertekenen, schering en inslag, terwijl dat soort verklaringen niet vereist zijn en de juridische waarde ervan valt te bezien. Kortom, onjuiste juridische documenten worden afgesloten, en partijen houden elkaar veelal onnodig in de houdgreep wanneer deze documenten niet ondertekend teruggestuurd worden.

    Een derde voorbeeld is dat ongetrainde personen, dat wil zeggen zonder enige GDPR-kennis, en met soms ook een conflicterend belang, opeens de lastige taak van functionaris voor gegevensbescherming (FG) op hun bordje krijgen. De functie van FG laat zich niet verenigen met alle taken. Het mag bijvoorbeeld niet ook de hr-manager, hoofd marketing of financieel directeur zijn. Er mag niet te lichtzinnig gedacht worden over de aanstelling van de FG.

    Al deze nerveuze acties vormen een groot risico voor de organisaties zelf. En erger nog, zij verslechteren eerder de bescherming van de privacy van de betrokkenen in plaats van dat zij deze verbeteren. Dit is uiteraard niet de bedoeling van de GDPR. Daarom hierbij een advies: druk even op de pauzeknop; ook na 25 mei gaat het leven door. Boze menigten en de privacytoezichthouder, de Autoriteit Persoonsgegevens, staan heus niet overal meteen op de stoep.

    Veel organisaties voldeden al niet aan de vorige wet en proberen nu krampachtig achterstallig onderhoud snel en ondoordacht uit te voeren. Dat is vragen om moeilijkheden. Als nu niet op een beheerste en praktische wijze de juiste fundering wordt gelegd, zakt het privacybeleid straks als een kaartenhuis in elkaar. Er moet dan weer opnieuw worden begonnen.

    Let wel, wij bepleiten niet dat de GDPR onbelangrijk is of dat je niets meer hoeft te doen. Integendeel, alle organisaties dienen vooral voortvarend door te gaan, maar zij moeten zich daarbij niet blindstaren op 25 mei of vlak daarna. Juist ook na die datum is het zaak de privacy compliance acties goed doordacht uit te voeren.

    Dit opiniestuk is eerder gepubliceerd in het FD, 23 mei 2018