Het doel van de Europese ‘GDPR’-regeling was oorspronkelijk om de privacy van burgers en consumenten te respecteren. Maar in realiteit jaagt de maatregel bedrijven overdreven op kosten. Heel wat spelers grijpen de onduidelijkheid er rond aan om bedrijven bang te maken en aan te zetten tot extra investeringen. De huidige GDPR-wet is te vaag en dreigt zijn doel te missen.

Data, het nieuwe goud

Vrijdag 25 mei 2018 zal de geschiedenis ingaan als de dag waarop bedrijven verplicht respectvoller moeten omgaan met de persoonlijke data van burgers en consumenten. Een noodzakelijke stap. In tijden waarin iedereen overal digitale voetsporen achterlaat en die voetstappen het nieuwe goud zijn voor bedrijven, is het erg verleidelijk om die persoonlijke data te misbruiken uit winstbejag. De Europese privacyverordening, in het Engels GDPR, komt dan ook niets te vroeg. Maar de maatregel schiet zijn doel voorbij: daar waar GDPR zou moeten leiden tot meer controle over en bescherming van persoonsgegevens, dreigt ze te verzanden in een overdreven formalisme en een duur juridisch advies.

Hoe kan dat? De GDPR-regelgeving is een generieke wet, wat normaal is aangezien ze voor iedereen toepasbaar moet zijn. De hoofdprincipes zijn: wie houdt mijn persoonsgegevens bij, wat doen ze met deze gegevens en ben ik het ermee eens? GDPR zou ervoor moeten zorgen dat je inspraak hebt over wat er met jouw gegevens gebeurt. Een goed vertrekpunt, maar spijtig genoeg te generiek om gemakkelijk en concreet toepasbaar te maken. Zo verschillen de relevantie en praktische implicaties van de wet voor een fabrikant van broedmachines natuurlijk erg van die van een hospitaal. Helaas moeten bedrijven vandaag zelf de vertaalslag maken naar wat GDPR voor hun organisatie concreet betekent. Dat leidt tot te veel afzonderlijke interpretaties van de wet.

Wat wel, wat niet

Sectorfederaties kunnen hier een belangrijke rol spelen. Zorgnet Vlaanderen, de grootste ziekenhuiskoepel in ons land, gaf in december het goede voorbeeld. Zij publiceerden enkele richtlijnen die duidelijk aangeven wat de GDPR-wetgeving concreet voor ziekenhuizen betekent en hoe ze ermee moeten omgaan. Ze gaven zelfs mee welke templates te gebruiken. Een voorbeeld dat andere sectoren best volgen. Het is dan aan de overheid om die sectorrichtlijnen te valideren. Alleen zo zullen bedrijven heel duidelijk weten wat ze wel en niet hoeven te doen en zullen ze geen overbodige kosten betalen.

Sommige kantoren en IT-bedrijven hebben geld geroken, en maken iedereen overdreven bang

Iedereen heeft geld geroken. In plaats van GDPR tot zijn ware proporties te herleiden voor de bedrijven, maken sommige advocatenkantoren en IT-bedrijven ondernemingen overdreven bang. Ze misbruiken GDPR om zo veel mogelijk juridisch advies en te specifieke IT-beveiligingsoplossingen te verkopen. Het enige wat bedrijven aan deze aanpak hebben is dat ze hun angst voor boetes afkopen.

Minder zwaar dan verwacht

Toch zal het met die boetes waarschijnlijk niet zo’n vaart lopen, of toch niet wat betreft de vooropgestelde hallucinant hoge bedragen. Net zoals de bedrijven niet klaar zullen zijn, zal ook onze overheid de deadline van 25 mei 2018 niet halen. De privacycommissie is zich volop aan het omvormen tot de gegevensbeschermingsautoriteit (GBA). Van een puur adviserend orgaan zal ze evolueren naar een instantie die meldingen van datalekken ontvangt, klachten onderzoekt, boetes instelt en int. Maar die mensen zijn er nog niet.

Laat ons GDPR niet langer gebruiken om bedrijven nodeloos bang te maken

De soep zal dus lang niet zo warm gegeten worden als ze opgediend wordt. Het Nederlandse voorbeeld sterkt me in die bewering. Onze noorderburen voerden een deel van GDPR in 2016 al in, namelijk de meldingsplicht van datalekken en de boetes. Op één jaar tijd kwamen er ruim 5.000 meldingen binnen van datalekken. De overheid was echter niet klaar om al die dossiers te onderzoeken. Resultaat: een zeer beperkt aantal boetes.

Laat ons daarom GDPR niet langer gebruiken om bedrijven nodeloos bang te maken. Help ze daarentegen en spoor hen aan om GDPR te zien als een startsein om verder te denken dan persoonlijke gegevens en een goede beveiliging van data in het algemeen na te streven.

In onze mondiale economie loeren er andere en grotere gevaren om de hoek, zoals het Chinese wat betreft intellectuele eigendom of onze ‘essentiële diensten’ (energie, water,...) naar terroristen toe. Het ultieme doel voor 2018 zou daarom moeten zijn: meer controle over en een betere bescherming van data en systemen. Dan helpen we onze bedrijven echt.

Noot van de redactie: opinies vertegenwoordigen niet noodzakelijk de mening van Bloovi. Indien je het niet eens bent met de auteur en zelf een opinie wil schrijven, stuur ons dan een mailtje op redactie@bloovi.be