Artikel
Geschreven door mr. Marion Bout, IAPP FIP
Posted on 02-11-2017

Paniek bij MKB rond Europese privacywet is onterecht

203 keer gelezen

Dit artikel is geschreven voor FD. De originele publicatie kunt u hier downloaden. 

De aankomende nieuwe Europese privacywetgeving zorgt voor een toenemende onrust op de markt: veel midden- en kleinbedrijven zijn zich steeds meer bewust van de grote impact en vrezen hoge boetes als ze de regels niet op tijd doorvoeren. Maar is die paniek terecht? Bij de implementatie van een nieuwe wetgeving is het altijd zoeken naar een nieuwe maatschappelijke balans. Dat vraagt tijd en gaat in fases, wat met name het MKB wat meer ruimte geeft.

In mei 2018 gaat de Europese General Data Protection Regulation (GDPR) van kracht. Deze verordening moet de privacy van Europese burgers beschermen in de snelgroeiende data-economie. De wet werd al aangenomen in 2016, maar ondertussen komt ook de implementatie dichtbij. En dat zorgt voor paniek bij Nederlandse bedrijven, zoals het FD eerder publiceerde. Ongeveer de helft zou niet klaar zijn voor de deadline, waardoor ze in theorie boetes riskeren die kunnen oplopen tot maximaal 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Grote schoonmaak

Laten we er geen doekjes om winden: de impact van de GDPR is groot en breed. Hoewel de verordening het MKB op een aantal punten ontziet, is de regeldruk zwaar voor alle bedrijven die persoonsgegevens bezitten of verwerken. Zowel grote als kleine bedrijven moeten vaker expliciete toestemming vragen aan consumenten om hun gegevens te gebruiken en hen tegelijkertijd de gelegenheid geven deze toestemming ook weer gemakkelijk in te trekken. Ze staan voor de taak hun datastromen in kaart te brengen en riskeren een hoge(re) boete wanneer ze datalekken niet binnen 72 uur melden aan de toezichthouder. Kortom, deze nieuwe wetgeving vraagt om ingrijpende administratieve, technische en organisatorische maatregelen.

De vraag is: zat die reorganisatie voor de meeste bedrijven er sowieso niet aan te komen? Efficiënt werken vereist een up-to-date housekeeping. Welke data wordt er verzameld? Wat wordt ermee gedaan? Met welk doel en waar is dit gedocumenteerd? Zijn de IT-systemen voldoende beveiligd? Welke data mogen weg, of móeten weg, juridisch gezien? Wie overeind wil blijven, zorgt dat deze zaken op orde zijn. Geen leuke opdracht, maar het moet nu eenmaal gebeuren. Een grote schoonmaak, zo gezegd.

De aankomende privacywetgeving zet druk op de ketel, maar dat is misschien nu net wat bedrijven, ook het MKB, kunnen gebruiken. Het zorgt voor de nodige sense of urgency bij het bestuur, waardoor er middelen worden vrijgemaakt. Alleen slaat die gezonde sense of urgency bij veel bedrijven door in onnodige paniek. Zijn we een jaar of meerdere jaren verder en heeft de grote schoonmaak nog steeds niet goed plaats gevonden, dan ligt het genuanceerder. Voor nu is het nog te vroeg.

Uitbalanceren

De GDPR geldt straks in 28 landen. Omwille van die uniformiteit, heeft de wet zaken open gelaten. Het feit dat er een Europese werkgroep actief is om bepaalde zaken uit te kristalliseren en neer te leggen in beleidsrichtlijnen, zegt genoeg. De nieuwe wet trekt de krijtlijnen, maar het is vervolgens aan de rechtbanken, bedrijven en burgers om deze te vertalen naar de praktijk. En dat vraagt om maatschappelijk debat, onderzoek en tijd.

Er zullen eerst rechtszaken, trial cases en uitspraken rondom de grote spelers volgen, waarmee de concrete interpretatie van de wet verder wordt bepaald. Het is niet waarschijnlijk dat de autoriteiten vanaf mei 2018 meteen een middelgrote webshop, verhuurbedrijf of horecazaak proactief gaan beboeten.

Wanneer er zich daadwerkelijk een groot datalek voordoet waarbij de persoonsgegevens van burgers in het gedrang komen, is het uiteraard irrelevant wat de grootte van de organisatie is. Maar ook dan wordt niet per definitie de maximale boete opgelegd. Het gaat er de Europese wetgever en de Autoriteiten Persoonsgegevens om dat bedrijven zo zorgvuldig mogelijk met de data omgaan. Sleutelwoord in de GDPR is “accountability”: een ‘verwerkingsverantwoordelijke’ moet te allen tijde kunnen aantonen dat deze er passende technische en organisatorisch maatregelen zijn getroffen die de door de GDPR vereiste dataverwerking waarborgen.

Tweede sleutelwoord is “passend”: passend binnen de context van het bedrijf en de dataverwerking die plaatsvindt. Zelfs al zijn er passende maatregelen getroffen, een datalek kan nog steeds elk bedrijf overkomen. We kunnen ons bedrijf nu eenmaal niet bepantseren als Fort Knox, geheel afgesloten van de buitenwereld. Wanneer het mis gaat, zal altijd gekeken worden naar de omstandigheden van het concrete geval. Kunt u aantonen dat uw bedrijf passende administratieve, technische en organisatorische maatregelen heeft genomen, zowel preventief als reactief, dan zal dit verzachtend werken.

Vlees aan de botten

De implementatie van een nieuwe wet is zoeken naar een evenwicht tussen de diverse spelers. Het dient zich uit te kristalliseren; niet alleen voor diegenen die hem moeten naleven, maar ook voor de rechtsprekende macht en de toezichthoudende organen. De toezichthoudende Autoriteit Persoonsgegevens wordt mijns inziens - in tegenstelling tot wat paniekberichten in de media doen geloven - geen aanstormende politiemacht die vanaf mei 2018 direct paraat staat om gretig boetes uit te schrijven aan het gehele Nederlandse bedrijfsleven. Ja, zij zal de GDPR handhaven, maar niet met de doelstelling zoveel mogelijk geld op te halen. Wel om mee vorm te geven aan een nieuwe maatschappelijke balans inzake privacy.

We staan aan de vooravond van een nieuw hoofdstuk in onze omgang met privacy. De botten zijn er, maar op het vlees is het nog even wachten. Moeten MKB bedrijven op hun lauweren rusten? Zeker niet. Maak gebruik van deze sense of urgency om uw bedrijf future-proof te maken. Maar laat paniek achterwege, want dat is nu niet nodig.