We zijn helemaal niet klaar voor de GDPR

Technologie Verandering Wat als

Zo laat William Debeukelaere zich horen. Hoofd van de Belgische Privacy Commissie die weldra, vanaf 25 mei, wordt omgevormd naar de Gegevensbeschermingsauthoriteit (GBA).
Twee jaar geleden werd de GDPR op Europees niveau goedgekeurd. Want Europa die stelde en keurde de wet goed, de uitvoering ervan en de toepassing is echter voor Nationale Autoriteiten. Bij ons dus de Privacy Commissie. Maar ook onze commissie (en deze van andere Europese landen) wachten nog steeds op ondersteuning van de Europa. Echter zal de Europese Commissie pas begin mei starten met praktische zaken en ondersteuning als certificering. Best laat voor een wet die op 25 mei in voege treedt.

Dat er weinig voorziening bestaat om bedrijven, vooral kleine bedrijven en zelfstandigen, op weg te helpen naar conformiteit met de GDPR wetgeving is duidelijk. Zo lijkt er mij veel te zijn misgegaan op communicatie vlak, waardoor de meeste bedrijven en zelfstandigen al tekort schieten in hun eerste stap, bewustmaking. Wat is die GDPR, waarom komt die er en wat betekent die specifiek voor ons (onze sector). Velen weten het niet, deze die er wel iets over weten zijn dan weer vaak verkeerd of onvoldoende geïnformeerd. Waardoor ze de GDPR aanzien als een enorm struikelblok, klaar om hun business praktijken te storen en veel tijd en geld op te slorpen. Of dat ze er gewoonweg niet mee in aanraking zullen komen... Terwijl de GDPR op zowat iedere professional een impact zal hebben.

Het lijkt toch eigenlijk wel een soepje. Zo'n uitgebreide 'impactvolle' wet in 2 jaar tijd doorvoeren, in gans de EU. Toch, als individu, als mens, vind ik dat het hoog tijd werd dat de tij keerde? Dat een wetgeving als de GDPR er dringend mocht aankomen. Want de GDPR brengt ook heel wat goeds mee (lees er meer over in dit artikel), voor individuen, en jawel ook voor bedrijven, organisaties en zelfstandigen.

Dat je best conform de GDPR werkt en dit tegen 25 mei, dat spreekt voor zich. Maar wat als we helemaal nog niet klaar zijn? Wat als je zelfs nog niet over de GDPR hebt gehoord?
Alle grote spelers zullen vermoedelijk wel mee zijn in het GDPR-verhaal. Maar veel kleinere spelers, de KMO's, (non-profit)organisaties en zelfstandige zijn helemaal niet mee, begrijpen niet waarover het gaat en steken soms liever hun hoofd in het zand. En het valt hen moeilijk kwalijk te nemen. Zij worden aan hun lot overgelaten, om zelf de informatie rondom de GDPR te verwerken en het proces tot compliancy in handen te nemen.

Toch zal ook de GDPR op hen van toepassing zijn, startende 25 mei 2018. Daarom ben je alvast al goed bezig, een eerste stap heb je gezet, bewustmaking. (zie 13 stappen plan door de Privacy Commissie). En bij bewustmaking begint het voor bedrijven, organisatie en zelfstandigen.

Daarnaast, zegt Debeuckelaere, moeten ze een inventaris opmaken met een register van de werking (van de bedrijfsprocessen, nvdr.). Dat zou elk bedrijf al moeten hebben."

Het lijkt toch zeker belangrijk te zijn dat bedrijven voor 25 mei zich bewust zijn van de GDPR-veranderingen en dat er sprak is van een duidelijke start richting compliancy met een gegevensregister en actieplan (wat er nog moet gebeuren om GDPR-compliant te zijn).

Ook goed nieuws. Dat we ons nog niet meteen zorgen moeten maken over het binnenvallen van de Privacy Commissie in bedrijven, gaf Debeukelaere eerder dit jaar al aan in Trends. Hij is er niet meteen bezorgd over dat zijn uitspraak zou betekenen dat bedrijven de GDPR minder serieus nemen.

DEBEUCKELAERE: "De zaken die klaar zijn, worden wel gecontroleerd en ook al gaan we niet langskomen, we kijken wel wat er verkeerd loopt. Als we vaststellen dat organisaties daar niet in meegaan, dan moeten we optreden."

In een artikel eerder op deze blog stelden we ons al de vraag.. "waar wordt de grens getrokken, wanneer is het goed 'genoeg'?".
Ook daarover bestaat nog steeds weinig duidelijkheid. Zo stelt Debeuckelaere dat het sterk op een ad-hoc basis zal bekeken worden. Zo wordt 1 van de kernaspecten steeds bekijken, nagaan of verwerking van persoonsgegevens kan gezien worden als 1 van de kernactiviteiten van het bedrijf, organisatie of zelfstandige en/of dit gebeurt op grote schaal. Dus wie je bent, wat je doet en waarvoor je staat zal zeker meespelen in de toepassing van de GDPR en vooral de draagwijdte en impact die de regelgeving op je onderneming zal hebben.

In een volgend artikel gaan we graag dieper in op enkele misvattingen rondom de GDPR en de meest voorkomende struikelblokken in het proces naar compliancy.

-Markins

Referenties
Knack artikel met Debeuckelaere
Debeuckelaere in Trends



Vorig Artikel Volgend Artikel