Bedrijven hebben volgens experts grote moeite om te voldoen aan nieuwe Europese wetgeving voor bescherming van persoonsgegevens. Als ze in gebreke blijven, dreigen vanaf eind mei 2018 sancties van privacytoezichthouders. “Klanten zijn in paniek”, zegt Patrick Van Eecke, partner en wereldwijd aan het hoofd van de privacypraktijk bij het advocatenkantoor DLA Piper. “Veel te veel bedrijven zijn te laat wakker geworden. Ze beseffen zich nu pas dat het niet gaat om ‘eventjes de privacypolicy op de website aanpassen’. Het gaat ook om aanpassing van de IT-systemen, de beveiliging. Technische maatregelen dus, bijvoorbeeld dat ze gegevens niet langer bewaren dan nodig is. En dat daarna de gegevens kunnen worden vernietigd of geanonimiseerd.”
Het Europees Parlement nam de wetgeving (Algemene Verordening Gegevensbescherming) in april 2016 aan, waarna bedrijven en andere instanties die data verzamelen en verwerken twee jaar de tijd kregen om aan de regels te voldoen.De regelgeving moet er uiteindelijk toe leiden dat er meer controle komt over de enorme data-economie die nu ontstaat en waarin reuzen als Google, Facebook en Amazon de lakens uitdelen. Bedrijven moeten nauwgezet in kaart brengen wat zij met data doen en burgers krijgen meer rechten.
Zo zijn bedrijven straks verplicht om individuen beter te informeren en vaker apart toestemming te vragen voor het gebruik van hun gegevens. Het informeren moet op een eenvoudige manier gebeuren, niet meer via ellenlange gebruikersvoorwaarden vol juridische taal. Voor privépersonen ontstaan er straks ook mogelijkheden om hun data die bij een internetbedrijf zijn achtergelaten over te hevelen naar een concurrent.Bedrijven worden daarnaast verplicht om datalekken binnen 72 uur aan een toezichthouder te melden. Deze verplichting bestaat reeds in Nederland, maar zal vanaf mei overal in Europa worden toegepast. De aanstelling van een zogenoemde data protection officer (DPO) moet garanderen dat bedrijven de regels naleven.
Hoewel er al lang wordt gewaarschuwd voor de komst van regelgeving, zeggen meerdere experts dat er bij bedrijven nog steeds sprake is van onderschatting. Bart Willemsen, onderzoeker bij IT-onderzoeksbureau Gartner, voorspelt dat ongeveer de helft van de ondernemingen die moeten voldoen aan de verordening, niet klaar zullen zijn. ‘Iedereen weet nu wel waar ze mee te maken hebben, maar de gesprekken gaan nog altijd over de basis.’
Volgens privacyadvocaat Van Eecke, die zelf de functie van DPO vervult bij de Universiteit Antwerpen, is er een omslag in het denken noodzakelijk. Dat is lastig erkent hij. ‘Het grote probleem is nu dat bedrijven zo gefocust geworden zijn op data dat bescherming van gegevens niet meer in hun cultuur zit. Zo van “wij vinden het helemaal niet leuk om transparant te zijn”. Er ontstaan ook allerlei filosofische discussies, maar die zijn eigenlijk een gepasseerd station. Er is geen weg meer terug, de wetgeving ligt er.’
Bron FD