De Europese privacyverordening GDPR die vandaag in Europa van kracht gaat, heeft twee gezichten. Het is een regulerend monsterlijk gedrocht. Maar de GDPR heeft ook een vriendelijk gezicht. De wet is tegelijkertijd ook een vriend die ons beschermd tegen het misbruik van onze gegevens.
Dat vindt Georg Borges, hoogleraar in burgerlijk recht en it-recht, aan de Universiteit van Saarland in het Duitse Saarbrücken. Volgens Borges gaat het nog jaren duren voordat de experts er uit zijn waar de wet eigenlijk voor staat.
Professor Borges maakte deel uit van een discussiepanel over de GDPR, gehouden tijdens de Box World Tour Europe 2018 gisteren in Londen. Als expert in it-recht houdt hij zich onder meer bezig met de privacyzaken, it-beveiliging en certificeringen voor databescherming in cloudomgevingen.
Hysterie
De hoogleraar verbaast zich over de in zijn ogen hysterie die de afgelopen weken is uitgebroken in de aanloop naar de officiële start van de Europese privacyverordening. ‘Krijgt u ook iedere dag talloze e-mails van partijen die opnieuw toestemming vragen voor het ontvangen van een nieuwsbrief?’, vraagt hij aan de aanwezigen. ‘Het is flauwekul. Negeer ze. Dat doe ik althans. Het heeft niets met databeveiliging te maken.’
Bedrijven en organisaties die nu nog voorbereidingen moeten treffen, zijn eigenlijk al zo’n 25 jaar te laat, betoogt hij. ‘Er is al regelgeving over compliance sinds 1990. De GDRP verschilt daar niet zo gek veel van. Het gaat met name om de aanscherping van databeveiliging. Dat is een goede zaak. Daarnaast maakt de GDPR het voor controlers makkelijker om de compliance van de organisatie aan te tonen.’
Meer zorgen maakt hij zich over de complexheid van de GDPR. Dat zorgt nog voor veel onduidelijkheid, interpretatieverschillen en controverses. ‘De nieuwe regelgeving is voer voor discussie tussen experts uit de juridische wereld. Het duurt nog jaren voordat men er over eens is waar de wet precies voor staat.’ Hij wijst bijvoorbeeld op iets als subcontracten, waarbij bedrijven samenwerken met partners rond datagevoelige processen. De GDPR biedt een handvat om die subprocessen te integreren in privacybeleid, maar dat is lang niet voor iedereen duidelijk.
Tip
Voor kleinere bedrijven en organisaties die nog moeten uitzoeken wat de gevolgen van de GDPR voor hun zijn, heeft de hoogleraar nog een tip. ‘Huur geen duur adviesbureau in maar gebruik je gezond verstand. Zet op een of twee pagina’s op een rijtje welke processen in je organisatie met klantdata te maken hebben. Gaat het alleen om een adres van een klant of relatie met bijbehorend e-mailadres, dan loop je een klein risico. Heb je veel klantdata met persoonlijke gegevens, breng dan in kaart wat er mis zou kunnen lopen en pas je procedures daar op aan. Zorg in ieder geval dat je it-beveiliging op orde is, breng je data desnoods onder bij een betrouwbare dienstverlening, en neem een verklaring op dat je je databeveiliging in lijn hebt gebracht de GDPR.’
