25 mei 2018 was een dag die in ieders agenda stond. Het was de dag dat de algemene verordening inzake gegevensbescherming (GDPR) officieel een wet werd. In de week die eraan voorafging en de daaropvolgende week werden tijdschema's gewist en agenda’s leeggemaakt. Hoe is de wereld, twee jaar later, omgegaan met de privacy-apocalyps en wat kunnen we verwachten van de volgende twee jaar?
Een vrij nauwkeurige beschrijving van die veertien dagen is "enigszins anticlimactisch”. Dat wil nog niet zeggen dat de effecten ervan niet voelbaar waren, want dat was wel het geval (ik zal dat binnenkort in meer detail bespreken) – maar er was geen revolutie van de ene op de andere dag, zoals eerder werd aangekondigd. In plaats daarvan was het een tijdje business as usual. Het duurde vijf maanden voordat een ziekenhuis in Portugal een boete kreeg van slechts 400.000 euro (489.000 dollar) en tot januari 2019 voordat de Franse autoriteit voor gegevensbescherming een straf oplegde die nog maar in de buurt kwam van de straffen waarmee in de krantenkoppen werd gedreigd. De twee gevallen die het meest weerklank vonden bij het publiek waren natuurlijk British Airways (183 miljoen pond/227 miljoen dollar) en Marriott International (99 miljoen pond/123 miljoen dollar), aangezien beide namen een begrip zijn.
Wat zijn nu enkele van de redenen achter de sancties? De meeste hebben betrekking op:
- toegangscontrole
- toestemming
- passende technische en organisatorische controles
- de wettelijke basis voor marketingactiviteiten
Anekdotisch gezien lijken deze te correleren met een aantal van de grootste uitgaven/investeringen die nodig zijn om aan de nieuwe wetgeving te voldoen, omdat hier de grootste veranderingen van bestaande systemen en benaderingen nodig zijn.
De afgelopen drie jaar hebben we een explosie gezien bij technologieleveranciers/partners naarmate bedrijven hun systemen upgraden, platforms aanpassen en nieuwe oplossingen integreren om aan alle eisen te voldoen. Technologische antwoorden kunnen geweldig zijn als u uw database wilt pseudonimiseren of Customer Identity and Access Management (CIAM) binnen uw organisatie wilt implementeren, maar dat is slechts een deel van het verhaal. Vergeet niet dat er geen zilveren GDPR-kogel is. Proces en beleid spelen ook een belangrijke rol in de naleving hiervan.
Hoewel de GDPR als evolutionair in plaats van revolutionair werd beschouwd uit de Data Protection Act 1998 (de implementatie van de richtlijn van 1995 door het Verenigd Koninkrijk), werden veel bedrijven gedwongen om hun zaken op orde te stellen en sinds 2018 hebben we veel voorbeelden gezien van procedures die uit het hoofd van mensen op papier werden gezet. En vergeet niet: het GDPR is natuurlijk evenzeer van toepassing op papieren als op digitale documenten. Veilige vernietiging betekent niet langer het in de vuilnisbak gooien en in een tijd van veel recyclage is er voor het weggooien van een document een proces, triage en besluitvorming nodig.
Het publiek heeft ongetwijfeld gemerkt dat je tegenwoordig nauwelijks een website kunt bezoeken zonder gebombardeerd te worden door een cookie wall/banner. Hoewel de overgrote meerderheid onwettig is (de cookiewet vereist dat u toestemming krijgt, maar u kunt een product of dienst niet weigeren op basis van niet-toestemming), helpt het om het bewustzijn van de privacy van gegevens te vergroten. De GDPR heeft de rechten van de betrokkene uit de vorige richtlijn overgedragen en versterkt, maar tot op de dag van vandaag zie ik geen advertenties of publicaties daarvan buiten de privacy-gemeenschap. Men had misschien iets verwacht in de broadsheets (dat is een krant, voor degenen onder jullie die dit buiten het Verenigd Koninkrijk lezen) of op een billboard in de stad, maar in plaats daarvan moeten mensen vertrouwen op wat ze online lezen en dat vereist natuurlijk dat ze eerst weten dat ze rechten hebben waarop ze kunnen zoeken.
Zoals ik in het begin al zei, zijn de effecten van de GDPR zeer sterk voelbaar geweest binnen organisaties over de hele wereld. Ik ben van mening dat de veranderingen die hebben plaatsgevonden, momenteel plaatsvinden, en in de toekomst zullen plaatsvinden goed zijn voor zowel de organisatie in kwestie als de bedrijfstak waarin ze actief zijn. Ik heb vaak gezegd dat gegevensbescherming een onderscheidende factor op de markt kan en zou moeten zijn, en ik twijfel er niet aan dat we daar de komende twee jaar nog veel meer van zullen zien. Commerciële kansen zullen worden gewonnen of verloren, niet op basis van de prijs, maar op basis van bedrijfspraktijken en -beleid. Zorgvuldigheid moet natuurlijk op de eerste plaats komen. Alleen dan kunnen bedrijven zich comfortabel voelen bij de levensduur en veiligheid van hun GDPR-investeringen.