GDPR proof in 2 dagen! DPO binnen één week. Uw organisatie AVG compliant binnen no time. GDPR toolkit: de snelste manier om te voldoen aan de nieuwe privacy wet!
Ik verzin deze termen en leuzen niet, ze staan echt op diverse websites en social media. Data Privacy, of Data Protection, is hot. Hotter dan hot beter gezegd. De opleidingen, cursussen, tools en adviesbureaus schieten als paddenstoelen uit de grond. Er zullen écht hele goede tussen zitten, maar mij bekruipt toch vooral het gevoel van heel veel geld verdienen aan een actueel onderwerp omdat -zo blijkt uit diverse onderzoeken – het leeuwendeel van de organisaties die met de GDPR te maken gaan krijgen, niet weten waar ze moeten beginnen. Uit de onderzoeken blijkt ook dat veel bedrijven GDPR als iets compleet nieuws zien waar je vooral iemand voor moet inhuren die de wettekst van A tot Z kent.
Eerst even al die termen. GDPR (General Data Protection Regulation), AVG (Algemene Verordering Gegevensbescherming), de nieuwe data privacy wet, het komt allemaal op hetzelfde neer: de nieuwe Europa brede privacy wet, die vanaf 25 mei 2018 de huidige WbP (Wet Bescherming Persoonsgegevens) gaat vervangen. De AP (Autoriteit Persoonsgegevens) heeft er zin in: onder het nieuwe systeem kunnen Europese privacy toezichthouders als de AP boetes van maximaal 20 miljoen euro of vier procent van de wereldwijde omzet van een bedrijf uitdelen. Nu ligt de maximumboete voor overtredingen van de Wet bescherming persoonsgegevens op 820.000 euro, al heeft de AP zijn dit jaar ingevoerde boetebevoegdheid nog nooit gebruikt. Maar daar komt verandering in, belooft de voorzitter van de AP, Aleid Wolfsen. Ja, die Aleid, die nogal wat schandaaltjes op zijn naam heeft staan. Ik houd mijn hart vast met deze man aan het roer.
Wat zijn nu de grootste veranderingen ten opzichte van de WbP? Daar verschillen de meningen over. Maar mijn persoonlijke top drie is:
- De aangesterkte rechten van data subjects (degene van wie je persoonsgegevens verzamelt).
- De ‘accountability’ van organisaties – laat zíen dat je GDPR compliant bent en documenteer iedere stap.
- De ‘bewijslast’ bij het verzamelen van persoonsgegevens op basis van consent, toestemming, opt in (allemaal hetzelfde).
Even terug naar die gigantische hoeveelheid GDPR cursussen en kostbare diensten die worden aangeboden. Ligt daarin de oplossing voor de marketeer – om zo snel mogelijk bijgeschoold te worden? Ik denk van niet. Natuurlijk is het goed om up to date te blijven van wat er gaande is in -privacyland. Maar de hele organisatie, niet alleen marketing, vaart wel bij duidelijkheid en vooral, praktische handvaten. En daarom raad ik altijd aan te beginnen bij het begin – welke persoonsgegevens verzamelen jullie eigenlijk en breng deze eens in kaart. Met het opzetten van zo’n overzicht voldoe je meteen aan een belangrijk onderdeel van de GDPR: een ‘data inventory’ van alle systemen met persoonsgegevens erin, het doel van het verzamelen en op basis waarvan je deze gegevens mág verzamelen. Denk aan toestemming of een contractuele overeenkomst. Zo’n inventory is echt een helse klus, daar ben ik heel eerlijk over. Maar op die manier word je wel gedwongen na te denken over wat er allemaal niet klopt of ontbreekt. En kijk daarbij meteen eens naar de rechten van betrokkenen. Stel, je krijgt een boze e- mail van een arts. Hij wil per direct al zijn persoonsgegevens verwijderd hebben uit alle systemen. Hoe pak je dit aan? Want zijn gegevens staan vast niet alleen in jullie CRM systeem.
De overgang van de WbP naar de GDPR is niet zo dramatisch als veel mensen je willen doen laten geloven (met uitzondering van de ‘draconische’ boetes van Aleid). Zie het als een moment voor grote schoonmaak en doe er je voordeel mee.
Over Astrid
Astrid heeft meer dan 10 jaar ervaring als compliance professional bij internationale organisaties uit de gezondheidszorg.