Ondanks veel aandacht, voorbereidingstijd en zelfs ervaring wordt de GDPR toch een struikelblok. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De aanloop naar de EU-brede, geharmoniseerde regels voor data- en privacybescherming is lang en soms moeizaam geweest. Maar per 25 mei komend jaar komt het er dan van: de GDPR (General Data Protection Regulation) treedt in werking. Deze regelgeving heet in het Nederlands AVG (Algemene Verordening Gegevensbescherming) en borduurt voort op de meldplicht datalekken die Nederland al sinds januari 2016 op zichzelf heeft toegepast.
Aan zowel de Nederlandse meldplicht als ook de verdergaande GDPR zijn veel woorden, analyses, expertise en andere inspanningen gewijd. De media-aandacht, de professionele bestudering (zowel technisch als ook juridisch), de voorbereidingstijd en voor sommige organisaties ook de praktijkervaring zijn allen behoorlijk uitgebreid. Ondanks dit alles zullen de nieuwe regels voor veel organisaties toch een struikelblok zijn. Het is onwetendheid, onbekendheid en onvoorbereidheid troef.
Wat vind jij?
Discussiëren op Infosecurity.nl
Tijdens de gecombineerde vakbeurs Infosecurity.nl en Data & Cloud Expo (1 en 2 november 2017 in de Jaarbeurs Utrecht) gaan in het Computable Café verschillende experts rondom vragen over de GDPR met elkaar en met u in gesprek. Ook Jeannine Peek, algemeen directeur Dell EMC Nederland en voorzitter Nederland ICT, neemt vanuit haar rol als raad van advies voor de Autoriteit Persoonsgegevens deel aan het gesprek. Lees meer hierover in het artikel ‘Laatste kans om vragen te stellen over GDPR‘.
Het implementeren van het hele GDPR verhaal is niets meer of minder dan het toetsen van bestaande processen of er a: relevantie is met GDPR en indien ja, op welke wijze die processen kunnen worden aangepast zodat zij in lijn zijn van GDPR. Dat kan van branche tot branche natuurlijk best wel verschillen op leveren maar maar er dan een course van die meteen de awareness bij alle betrokkenen naar een hoger plan trekt en wijs een verantwoordelijke aanspreekpunt aan.
Als er rond volgend jaar nu nog bedrijven zijn die niet compliant zijn, dan hebben die tijd genoeg zich kapot te schamen. Het hele issue loopt alweer een hele tijd. Ik zou zeggen, werk aan de winkel beste ondernemer en executive.
Het is niet onwetendheid of onbekendheid dat men onvoorbereid is.
Alle management-seminars en -workshops hebben vol gezeten, incl. ‘handig naslagwerk om het thuis allemaal nog eens door te lezen’.
Zoals voorspeld is het vooral onbenul, desinteresse en arrogantie in accountable boardrooms (RvB, RvC, B&W, GS, etc.).
Anderen, die al jaren gewoon de diverse wettelijke verplichtingen hebben geïmplementeerd, hadden aan GDPR nauwelijks werk.
En zoals voorspeld zijn de eerste paniekerige brandbrieven al verschenen ‘dat het toch wel ingewikkeld is en veel werk, en dat het allemaal meer tijd kost’. Men heeft ruim twee jaar de tijd gehad, en onvoldoende gedaan.
Diegenen die nú nog moeten beginnen met bewustwording kunnen het eigenlijk wel laten. Desondanks zijn allerlei cowboys ten tonele verschenen die de paniek aanjagen met kreten als ‘Hoge boetes!’, ‘Laatste kans om wakker te worden!’ en ‘Laatste kans om vragen te stellen over GDPR’, en die het akkefietje wel even from scratch voor u zullen regelen.
Veel ‘bestuurders’ zullen er op speculeren dat het uiteindelijk met de handhaving wel los zal lopen. En ze konden best eens gelijk krijgen, gelet op de schuchtere blafjes van onze privacywaakhond.
Voor gemeentelijke bestuurders komt daarbij nog de gelukkige toevalligheid dat de komende gemeenteraadsverkiezingen in maart 2018 vallen. Voor wethouders dus een uitgelezen kans om zich tijdig uit de voeten te maken.