GDPR 1 jaar later: drie misvattingen die bedrijven nog steeds hebben

Jean-Michel Franco

Jean-Michel Franco, Senior Director of Data Governance Products, Talend

Ongeveer anderhalve maand geleden (op 25 mei om precies te zijn) was de Europese privacywet General Data Protection Regulation (GDPR) exact één jaar van kracht. Deze mijlpaal is een mooi moment om bedrijven eraan te herinneren wat de gevolgen zijn van het niet beschermen van data en welke procedures noodzakelijk zijn om dit te voorkomen.

Drie gangbare misvattingen die bedrijven - groot en klein – nog steeds hebben over de GDPR:

1. Toegangsrechten voor data: de achilleshiel van grote bedrijven

Omdat het overtreden van de GDPR grote boetes kan opleveren, zou je verwachten dat bedrijven er alles aan doen om compliant te zijn. Maar dat is niet altijd het geval.

De meeste bedrijven hebben de verantwoordingsplicht verbeterd door bijvoorbeeld een Data Protection Officer aan te stellen. Of ze hebben een juridisch kader voor dataprivacy ontwikkeld (of herzien), de bescherming tegen datalekken verbeterd of het toezicht verscherpt op hun identiteit en toegang. Toch blijkt uit recent onderzoek dat GDPR de praktijk van gegevensbeheer weinig heeft veranderd: zo laat het gemiddelde grote bedrijf ongeveer 17 procent van zijn gevoelige bestanden voor iedere werknemer openstaan.

Maar in tegenstelling tot wat er vaak gesuggereerd wordt, is de toegang tot persoonsgegevens niet alleen de achilleshiel van grote techbedrijven zoals Google. Onderzoek van Talend laat bijvoorbeeld zien dat slechts 17 procent van de bedrijven in het VK compliant is aan de omgang met persoonsgegevens.

Ondanks dat het nu eenvoudiger is geworden voor consumenten om hun gegevens op te vragen, worstelen veel bedrijven met de maximale reactietijd van 30 dagen. Een ding is zeker: als toezichthouders zich hierop gaan richten, worden veel bedrijven de komende tijd verantwoordelijk gehouden voor het niet naleven van de wet.

2. Dataprivacy of gegevensbescherming is niet hetzelfde als cybersecurity

Vaak wordt bij de termen dataprivacy of gegevensbescherming direct gedacht aan een dreiging op het gebied van cybersecurity. Dit is een misvatting. Daarom is het aan te raden om naast de focus op strikte beveiligingssystemen, ook de juiste processen en IT-systemen in te richten om de toegangsverzoeken tot persoonsgegevens op de juiste manier af te handelen.

De boete van Google en de groepsvordering op streamingdiensten laten zien dat organisaties zich moeten realiseren dat cybersecurity slechts een aspect is van GDPR-compliance. In feite is de grootste boete tot nu toe opgelegd voor een schending van de gegevensvergunning, terwijl de grootste groepsvordering die momenteel door toezichthouders worden behandeld, zich concentreren op toegangsverzoeken van betrokkenen. GDPR biedt organisaties de kans om de huidige relatie tussen bedrijfsprocessen, datatransparantie en privacybehoeften van klanten nader te bekijken.

3. GDPR is meer dan een juridische overeenkomst tussen klant en bedrijf

Het afgelopen jaar hebben veel bedrijven zich afgevraagd of ze GDPR-compliant zijn. Om hieraan tegemoet te komen heeft een meerderheid de keuze gemaakt voor een defensieve strategie, puur gericht op juridische- en veiligheidsgevolgen. Hierin ligt een andere misvatting verborgen: het beeld dat GDPR niets meer is dan een kwestie van rechtsgeldigheid.

GDPR is een contract tussen de organisatie en haar klanten, waarin is beschreven hoe het bedrijf van plan is de persoonsgegevens van klanten op te slaan, te verwerken en te beschermen. Voor ieder contract is er een juridisch aspect aanwezig, maar de reikwijdte is veel breder dan dat van de GDPR. Het gaat ook om het opbouwen van betere klantrelaties en ervaringen door vertrouwen te kweken. Dit is van essentieel belang omdat vertrouwen tegenwoordig cruciaal is voor bedrijven. Als klanten het contract niet waarderen of vertrouwen, zullen zij hun gegevens niet achterlaten of het bedrijf zelfs links laten liggen.

Schendingen van GDPR en de publiciteit hieromtrent schaden het consumentenvertrouwen. Meer succesvolle organisaties zijn bereid om de privacy van de consument en de klantervaring centraal te stellen. Zo kunnen bedrijven privacyportals opzetten waar klanten toegang hebben tot hun gegevens en toestemming kunnen geven voor gepersonaliseerde diensten.

Bedrijven ervaren een explosie aan datavolumes, waardoor het garanderen van goed beheerde data van fundamenteel belang is voor succes. Naarmate autonome beslissingen, ondersteund door AI en machine learning, de standaard worden, zal steeds meer focus komen te liggen op zakelijke verantwoordelijkheid.

Regulering is altijd een minimumnorm, dus bedrijven moeten ernaar streven om minimaal aan de GDPR te voldoen. Organisaties moeten fungeren als stewards, zodat gegevens worden gebruikt, opgeslagen en gedeeld op een manier die niet leidt tot misbruik door onbevoegde derde partijen. Zo krijgen ze meer vertrouwen in hun eigen gegevens - en hun klanten ook.

Meer over
Lees ook
GDPR - al bijna 100.000 klachten

GDPR - al bijna 100.000 klachten

Tijdens de jaarlijkse Data Protection Day heeft de Europese Commissie in een gezamenlijke verklaring een status update gegeven over de impact van de General Data Protection Regulation. Volgens deze verklaring is acht maanden na de inwerkingtreding van de Algemene Verordening Gegevens­bescherming op 25 mei 2018 de Europese Commissie erg trots om de sterkste...

Staat GDPR innovatie rond authenticatie in de weg?

Staat GDPR innovatie rond authenticatie in de weg?

De technologische ontwikkelingen rond biometrie en gezichtsherkenning zijn de afgelopen jaren erg hard gegaan. Zo hard, dat het de wetgeving voorbij dreigde te steken. In Europa is getracht dat voor te zijn met privacywetgeving, met de Algemene Verordening Gegevensbescherming (AVG) voorop. Maar de rest van de wereld kijkt er toch een beetje anders tegenaan,...

GDPR blijft vragen oproepen

GDPR blijft vragen oproepen

Twee ervaren IT-ers schrijven boek over privacywetgeving De discussie rond dataprivacy is een van de bepalende vraagstukken van dit decennium. Europa heeft in dat kader beslist om met de General Data Protection Regulation (GDPR) een nieuwe regelgeving in te voeren. Zo wil de Europese Unie (EU) opnieuw een evenwicht vinden tussen het recht op privacy...