Op 25 mei is de met veel bombarderie aangekondigde GDPR-richtlijn precies een jaar oud. Uiteindelijk heeft de berg een muis gebaard. ‘Het was een goede zet, maar zoals altijd is de uitvoering een ramp’, vertelt een topconsultant. Wat we vooral zullen onthouden, is de hopeloze hoop e-mails in juni waarin elke website waar we ooit ons e-mailadres aan toevertrouwde, vroeg of ze dat e-mailadres mochten behouden. Ik vraag me af of iemand daar ooit op reageerde. En of dat e-mailadres dan inderdaad geschrapt is.
Zelden was er zoveel heisa rond de invoering van een nieuwe Europese richtlijn. De General Data Protection Regulation (GDPR) werd opgevoerd als de heilige graal van de privacy. Bedrijven riskeerden miljoenenboetes als ze zich niet hielden aan de regels. Elke burger zou naar zijn bank kunnen stappen en vragen wat zijn financiële instelling precies allemaal bijhield van z’n persoon. Mag het verbazen dat in de realiteit niemand dat heeft gedaan. Sommigen voorspelden dat banken tot 4,7 miljard euro aan boetes zouden kunnen oplopen.
Voor GDPR-boetes werd er dan ook vooral uitgekeken naar de Amerikaanse technologiereuzen. De meesten bevinden zich in Ierland, maar de Ieren laten begaan. Ze zijn uiteraard bang dat Facebook en anderen het land zouden verlaten. Frankrijk gaf wel een boete van vijftig miljoen euro aan Google en was daarmee de eerste en zo goed als de enige.
O ja, de Belgische Gegevensbeschermingsautoriteit (GBA) heeft ook een ticket uitgedeeld aan ‘een niet nader genoemde burgemeester’ wegens misbruik van persoonsgegevens (e-mailadressen) voor verkiezingsdoeleinden. Volgens de krant De Tijd ging het om een boete van tweeduizend euro. Het is de eerste keer dat GBA een boete geeft, één jaar na de invoering van de richtlijn. En dan nog een schamele tweeduizend euro. Wordt wellicht bijgeschreven bij verkiezingsuitgaven.
442 datalekken
Het is overigens ronduit schandalig dat de Belgische privacywaakhond pas eind april, elf maanden na de invoering van de richtlijn van start ging. De reden: men vond geen directeur die het Duits machtig was. De nieuwe voorzitter David Stevens, die vier jaar data protection officer was bij Telenet, mag inderdaad een tandje bijsteken.
Bedrijven hebben een meldingsplicht als er wat misloopt met hun data. In België werden tot acht maanden na de invoering van de richtlijn amper 442 datalekken gemeld. Ter vergelijking in Nederland ging het om bijna 21.000 datalekken. Belgen zijn meesters in het verzwijgen van dataverlies.
Wat wel het gevolg is van de GDPR-richtlijn is dat er een nieuwe job bijgekomen is in heel wat bedrijven. Bij de GBA zijn tot nog toe 4.400 privacymanagers aangegeven. Er staan nog honderden vacatures open, maar een wettelijk kader is er niet. Iedereen mag zich privacymanager noemen, ook de toiletdame, maar mogelijk is die wel het best geplaatst als het om privacy gaat.
