Organisaties moeten nu aan de slag om te zorgen dat ze in 2018 aan de nieuwe privacyregels voldoen. Bedrijven met meer dan 250 werknemers moeten bijvoorbeeld een privacy-administratie bijhouden en de verantwoordelijkheid voor het beheer van die gegevens neerleggen bij een data protection officer. De impact op de bedrijfsvoering is groter dan bij de invoering van de cookiewet in 2012.
Dat stelt de directeur van brancheorganisatie DDMA (Data Driven Marketing Association) Diana Janssen. ‘Een implementatieperiode van twee jaar lijkt lang, maar deze wet heeft een enorme impact op de bedrijfsvoering. Organisaties moeten nu echt aan de slag’.
In mei 2018 vervangt de nieuwe Europese privacywet de Nederlandse Wet bescherming persoonsgegevens. De nieuwe privacywet verplicht bedrijven die meer dan 250 werknemers hebben een privacy-administratie bij te houden en bedrijven die op grote schaal data verwerken een verantwoordelijke aan te stellen in de vorm van een data protection officer.
Janssen: ‘De grootste verandering van de Europese privacyverordening (officiële naam: General Data Protection Regulation, GDPR – red.) voor het bedrijfsleven is de zwaardere documentatieplicht. Welke data wordt er verzameld?, via welke bronnen?, met welke systemen?, hoe zijn die systemen beveiligd? en wie kunnen erbij? Ook worden deze bedrijven verplicht een speciale privacymedewerker of data protection officer aan te stellen. Deze ziet toe op de omgang met gegevens en controleert of de organisatie voldoet aan wet en regelgeving.’ De voorzitter van de DDMA wijst er ook op dat consumenten door de wet meer controle krijgen over hun eigen gegevens. Naast het recht om vergeten te worden, is het makkelijker om gegevens te laten verwijderen of mee te nemen naar een andere dienst.
Privacy in de boardroom
Eerder werd al bekend dat voor schending van de privacywet boetes tot twintig miljoen euro of 4 procent van de wereldwijde omzet kunnen worden opgelegd. Janssen: ‘Privacy is nu een serieus bedrijfsrisico. Bescherming van persoonsgegevens is een thema waar directies niet meer om heen kunnen. In een wereld met zoveel consumentengegevens in omloop is dat ontzettend belangrijk. Elke organisatie heeft een gedegen datastrategie nodig waarover op het hoogste niveau wordt gesproken. Ik zie gelukkig dat dit al steeds vaker gebeurt.’
‘Start met voorbereidingen’
Ze concludeert dat, hoewel Nederlandse bedrijven privacy al steeds serieuzer nemen, de nieuwe wet nog veel voorbereiding vergt en roept organisaties op daar zo snel mogelijk mee te beginnen. ‘Een implementatieperiode van twee jaar lijkt lang, maar gaat sneller voorbij dan je denkt. We hebben al vaker gezien dat bedrijven pas op het laatste moment wakker werden, zoals bij de cookiewet in 2012. De nieuwe privacywet vraagt nog een stuk meer van bedrijven. Vooral de verzwaarde documentatieverplichting heeft een enorme impact op de bedrijfsvoering. Organisaties moeten nu echt aan de slag. De hoge boete zou genoeg reden moeten zijn.’
DDMA
DDMA (Data Driven Marketing Association) is de brancheorganisatie voor data-driven marketing met 275 leden variërend van War Child tot Heineken, van Relay42 tot Vodafone. Als onafhankelijk orgaan adviseert de organisatie haar leden over privacy en wetgeving en informeert ze over de laatste trends en ontwikkelingen op het gebied van data. Daarnaast is de brancheorganisatie actief in Brussel en Den Haag.