‘De nieuwe Europese privacyregels dreigen hun doel voorbij te schieten’

Binnen zes maanden worden nieuwe Europese privacyregels (GDPR) van kracht. De kans bestaat evenwel dat de maatregel zijn doel voorbijschiet, waarschuwt Maarten Rooijakkers, CEO van vermogensbeheerder Capital at Work.

De Europese GDPR-verordering (voluit General Data Protection Regulation) schept het formele kader dat aangeeft hoe bedrijven vanaf 25 mei 2018 met persoonsgebonden data om moeten gaan.

De vraag wat een onderneming in de toekomst wel en niet meer met persoonsgebonden data mag doen, heeft niet alleen operationele gevolgen, bijvoorbeeld op juridisch of IT-vlak. Het gaat ook – en misschien vooral – over een bewustmakingsproces.

Zes maanden voor de deadline lijken meer en meer bedrijven zich te realiseren wat er op hen afkomt. Persoonsgebonden data verzamelen, bijhouden, verwerken en doorgeven moet – eindelijk – over heel Europa volgens dezelfde spelregels gebeuren.

Ik zeg ‘eindelijk’, want wellicht trap ik een open deur in door te zeggen dat niet iedereen op dezelfde manier omging met die persoonlijke data.

En dat was waar Europa op wilde reageren met de GDPR-regels: de manier waarop een aantal grote bedrijven (u weet zeker wel over welke ik het heb) persoonsgegevens verzamelen, en wat ze vervolgens met die data doen, roept toch wel vragen op.

Bovendien gaat het niet alleen over die hele grote bedrijven. Er is net zo goed een probleem wanneer het foutloopt omdat de plaatselijke elektrozaak met een veiligheidsissue te kampen heeft, waardoor iedereen in de klantendatabase een ‘risicovol’ mailtje krijgt.

Daarom kunnen we de filosofie achter de GDPR-regels alleen maar toejuichen: iedereen moet op dezelfde manier met die persoonsgebonden data omgaan.

Voorbeeld

De financiële sector is wat dat betreft overigens zeker wel een voorbeeldsector. Hoe wij als vermogensbeheerder met de persoonlijke gegevens van onze klanten moeten omspringen, is altijd al bijzonder streng gereglementeerd.

Terecht, overigens. Onze sector weet perfect waarom discretie en vertrouwelijkheid zo belangrijk zijn. De GDPR-filosofie is ook de onze.

Dankzij GDPR moeten bedrijven uit alle mogelijke sectoren zich nu eindelijk allemaal bewust met dat privacyvraagstuk bezighouden. Zich de vraag stellen welke data het bedrijf allemaal verzamelt, via welke kanalen dat gebeurt, hoe hierover met de klant wordt gecommuniceerd, hoe die data worden verwerkt, waar en hoelang die worden bijgehouden, wie er toegang toe heeft enzovoort.

Er is nu een helder, formeel kader dat bovendien ook voor de klanten duidelijkheid geeft. Het neemt de argwaan weg: wat gebeurt er met mijn gegevens? Al maak ik me weinig illusies: het bewustwordingsproces is niet afgerond op 25 mei volgend jaar, dat proces zal nog veel langer duren.

Grijze zones

Toch moet ik bij het GDPR-verhaal ook wat kanttekeningen maken. Er zijn nog grijze zones in de regelgeving.

Denk bijvoorbeeld aan het afstemmen van procedures met derden, leveranciers of onderaannemers, of wanneer er tussen twee financiële instellingen gegevens uitgewisseld moeten worden.

Wij moeten erover waken dat alle partijen met wie wij data uitwisselen, ook GDPR-proof zijn. Of dat proces 100 procent waterdicht wordt tegen de deadline van 25 mei, valt nog af te wachten.

Een erg belangrijke verandering voor de bedrijven zit in de rol van de privacycommissie. Tot nog toe moet een bedrijf bij iedere nieuwe vorm van dataverzameling die het onderneemt, dat aan hen melden.

Bij een probleem geeft aan die wat niet kan en anders moet. Als een ‘buffer’, als het ware. Vanaf 25 mei wijzigt die rol en is de privacycommissie het orgaan dat controleert of het bedrijf in orde is met de GDPR-regels, en boetes uitdeelt wanneer dat niet het geval is.

Voor bedrijven betekent dit een grotere eindverantwoordelijkheid. En dat vraagt rigoureus opvolgen van de regels.

De filosofie achter GDPR onderschrijven wij helemaal, zoals eerder gezegd. Alleen: het middel mag het doel niet voorbijschieten.

En ik vrees dat dat op dit moment wel dreigt te gebeuren. De ‘grote machine’ die GDPR is, vraagt vormelijke aanpassingen op heel veel vlakken bij de bedrijven. Zijn alle procedures correct? Staat op alle formulieren expliciet een vermelding over de privacyregels? Staan alle handtekeningen op het formulier en staan ze op de juiste plaats?

Het vormelijke is belangrijk en moet in orde zijn, daar is geen discussie over, maar we mogen daarbij het inhoudelijke niet uit het oog verliezen.

De focus moet liggen bij hoe je als bedrijf omgaat met die persoonsgebonden gegevens. De GDPR-slinger mag niet doorslaan: inhoud komt op de eerste plaats.