Bedrijven nemen een groot risico als ze claimen dat ze 100 procent GDPR-compliant zijn. Belangrijker is dat ze aantonen dat ze zich inspannen om aan de GDPR te voldoen. Doel, grondslag en kunnen aantonen om welke persoonsgegevens het gaat zijn essentieel.
Dit stellen auteurs van Het Grote GDPR-handboek Peter Witsenburg en Viktor D’Huys, data protection officer (dpo) Jan Guldentops en privacymanager bij ICT Recht Peter Kager in het Computable-debat ‘160 dagen GDPR: waar staan we nu?’, dat geleid wordt door hoofdredacteur van Computable België William Visterin.
Witsenburg en D’Huys geven aan dat ze met hun boek een brug willen slaan tussen de wetgeving en de praktijk. Kern van de zaak is volgens D’Huys evenwicht. ‘Belangrijkste van de GDPR is dat de privacy van ieder van ons verzekerd blijft en dat er van onze data geen misbruik wordt gemaakt. Aan de andere kant wil de wet een kader bieden waarbinnen bedrijven de data kunnen gebruiken om hun business te kunnen bedrijven. Evenwicht tussen beide is essentieel.’
Stand van zaken
Terug naar de titel van het debat. ‘Waar staan we nu na 160 dagen?’. Kager: ‘Uit een rapport van Ernst & Young blijkt dat de helft van de ondervraagden aangeeft niet te voldoen aan de GDPR en er ook nooit aan te kunnen voldoen.’ Guldentops vindt dit eigenlijk een goede zaak. ‘Ik heb minder moeite met die mensen dan met mensen die beweren dat ze 100 procent compliant zijn. Bij de Belgische overheid zie je bijvoorbeeld papieren tijgers ontstaan; wanneer ze een checklist afwerken denken ze te voldoen. Dat is natuurlijk niet zo.’
Witsenburg en D’Huys geven aan dat het inderdaad een risico is om als bedrijf te beweren dat je 100 procent compliant bent. ‘De interpretatie van de wet maakt dat eigenlijk onmogelijk. In ons boek laten we daarom vooral zien hoe je er praktisch voor kunt zorgen dat je als bedrijf voldoet.’
Guldentops geeft aan dat GDPR niet moeilijk is, maar dat je het echt moet willen. ‘Op vijf avonden cursus heb je het voor elkaar. Wees er vooral niet bang voor, 80 procent van de wet is common sense.’ Kager beaamt dit. ‘Het is niet ingewikkeld, je moet vooral focussen op de excessen. Als je duizend mailadressen hebt en je weet niet meer hoe je eraan komt, gewoon niet meer mailen. Bij overheden en multinationals is dit veel moeilijker. Er moeten vaak zoveel afdelingen naar kijken dat je maanden verder bent voor je een stap hebt gemaakt. Vaak geldt: hoe groter het bedrijf, hoe moeilijker het is om GDPR-compliant te zijn.’
Compliancy aantonen
D’Huys geeft aan dat je eigenlijk niet kunt aantonen dat je als bedrijf GDPR-compliant bent. ‘Er is geen officieel certificaat, maar je kunt wel op een systematische manier aantonen, dit geven we ook aan in het boek.’ Witsenburg voegt hieraan toe: ‘Doel, grondslag en welke persoonsgegevens transparant aan kunnen tonen is essentieel. Hoe je dat doet, is van ondergeschikt belang. Een Excel-bestand kan al voldoende zijn, het gaat erom dat je laat zien dat je erover hebt nagedacht.’ Guldentops beaamt dit: het gaat om een inspanningsverbintenis in plaats van een resultaatsverbintenis.
DPO
Onderdeel van de GDPR is het verplicht aanstellen van een data protection officer (dpo). Huys: ‘De dpo is de persoon die binnen een organisatie verantwoordelijk is voor het naleven van de GDPR. Hij moet deskundig zijn, de wet kennen en begrijpen en uiteraard ook zijn eigen organisatie en de markt waarbinnen deze functioneert begrijpen. Hij moet zelfstandig kunnen zijn en rechtstreeks aan het hoogste management rapporteren, zodat hij onafhankelijk advies kan geven. De GDPR stelt een dpo verplicht bij de overheid en dataverwerkingsbedrijven. Voor kleine organisaties is dit niet verplicht, maar is het wel van belang om iemand aan te stellen die er verantwoordelijkheid voor neemt.’
Jan Guldentops geeft aan dat hij weliswaar als dpo werkzaam is, maar dat een ‘gecertificeerde’ dpo in feite niet kan bestaan. ‘Er is geen officiële certificatie tot dpo. Er zijn wel veel cursussen waarbij je na afloop een diploma met ‘gecertificeerd’ krijgt, maar er is geen officiële Europese certificering.’
