De nieuwe wetgeving van de Europese Unie is voor veel bedrijven een hoofdpijndossier: van de simpele Nederlandse zzp’er tot de grote techbedrijven uit Silicon Valley.
De bedrijven zijn op dit moment hard aan het werk om alles voor 25 mei voor elkaar te krijgen. Hét moment waarop een belangrijk stuk nieuwe Europese wetgeving inzake data-privacy in werking treedt: de GDPR.
Hieronder een snelle en beknopte versie van wat je moet weten.
GDPR?
Het staat voor de General Data Protection Regulation. In Nederland wordt de privacyverordening ook wel algemene verordening gegevensbescherming genoemd.
Dus wat is GDPR precies?
Het is een belangrijke Europese verordening (dus met rechtstreekse werking) die gaat over hoe de gegevens van EU-burgers kunnen worden gebruikt door bedrijven. Het is een set strikte nieuwe regels over toestemming krijgen van mensen om hun data te verwerken. Al in april 2016 werd de wet aangenomen door het Europese Parlement en vanaf mei 2018 zijn bedrijven verplicht om zich eraan te houden.
Wat houdt GDPR in de praktijk in?
De GDPR biedt Europeanen een aantal extra rechten als het om hun gegevens gaat.
Bedrijven zijn verplicht om klanten op een duidelijke en toegankelijke manier om hun data te vragen. Als klant heb je vervolgens het recht om te eisen dat een organisatie jouw data verwijdert wanneer je daarom vraagt. Daarbij kun je informatie opvragen over hoe en waarom je gegevens worden verwerkt. Ook kun je een kopie van je gegevens bij het bedrijf aanvragen in een machinaal leesbaar formaat, zodat je het naar een ander bedrijf kunt overhevelen.
Komt een organisatie tot de ontdekking dat er sprake is van een datalek, dan dient deze direct een melding te maken bij de Autoriteit Persoonsgegevens (AP). Deze meldplicht verandert met de nieuwe wetgeving niet. Wel zijn de mogelijke boetes flink veranderd.
Op wie is GDPR van invloed?
Iedere organisatie die de gegevens van Europeanen verwerkt heeft ermee te maken. Ongeacht waar ter wereld het bedrijf gevestigd is. Zelfs als een bedrijf geen kantoren heeft in Europa en werknemers nog nooit een voet op ons continent hebben gezet, geldt: als ze EU-data hebben, moeten ze vanaf mei volgens de EU-regels spelen.
Wanneer gaat het in?
De GDPR is vanaf 25 mei van kracht.
Wat gebeurt er als bedrijven zich niet aan de regels houden?
Organisaties die de GDPR-regels schenden, krijgen niet alleen een tik op de vingers, er zijn serieuze, potentiële straffen. Een onderneming die niet aan de wetgeving voldoet, riskeert een boete van maximaal 4 procent van de jaarlijkse, wereldwijde omzet (dat wil zeggen: niet alleen inkomsten die in Europa worden gegenereerd) of 20 miljoen euro, afhankelijk van welk bedrag hoger is.
Zijn mensen klaar voor GDPR?
Veel mensen niet.
Weinig ondernemers - vooral ook zzp'ers en mkb'ers - lijken echt voorbereid. Je kunt ervan uitgaan dat vrijwel íedere Nederlandse organisatie in actie moet komen, omdat de IT-systemen en apparaten nooit rekening hebben gehouden met de regels die nu gelden.
Ook veel buitenlandse bedrijven beseffen nog niet dat de GDPR ook op hen van toepassing is, ook al zijn ze buiten de EU gevestigd. Het is een big deal en kan de manier waarop bedrijven omgaan met gegevens drastisch veranderen. "De status quo is volledig geherdefinieerd", schrijft de Amerikaanse Kris Lahiri, CSO van data-opslagbedrijf Egnyte.
Lahiri: "Eerder vielen onder persoonsgegevens zaken als e-mailadressen, burgerservicenummers, bankrekeningen en dergelijken. Nu omvat de term allerlei soorten data die je kunt gebruiken om iemand te identificeren. Denk aan IP-adressen, vingerafdrukken, irisscans en nog veel meer."
Waarom maken bedrijven zich zo druk over GDPR?
Voor sommige bedrijven is voldoen aan de GDPR niet een kwestie van een paar knoppen omzetten. Het kan een complete herziening van hun interne systemen betekenen.
"Veel bedrijven maken gebruik van verouderde infrastructuur. Denk aan een administratie op papier, waardoor het extra lastig is om aan de wetgeving te voldoen. Om te voldoen aan het 'recht om vergeten te worden' moeten veel bedrijven hun systemen moderniseren om hun processen en protocollen beter te kunnen beheren", zegt Lahiri.
Wat voor soort veranderingen maken bedrijven?
Met nog slechts een maand te gaan, zijn veel bedrijven druk bezig om toestemming te krijgen om de data die ze hebben, te mogen bewaren. Veel mailinglijsten vragen Europese gebruikers om toestemming om ze te blijven e-mailen, apps vragen expliciet om toestemming om je data te gebruiken.
Facebook heeft bijvoorbeeld gebruikers gevraagd om in te stemmen met de manier waarop het je gegevens wil gebruiken. Toch kreeg het bedrijf ook kritiek omdat het gebruikers geen duidelijke 'ja'- of 'nee'-keuze gaf. Sommige experts stellen dus dat het bedrijf zich niet heeft aangepast naar de GDPR, hoewel Facebook zegt dat het eraan werkt om binnen de deadline aan de wetgeving te voldoen.