“Moeten jullie je als Amerikaans bedrijf ook houden aan die wet?” In november 2017 nam ik plaats in een panelgesprek tijdens Infosecurity.nl en Data & Cloud Expo over de aankomende verordening gegevensbescherming (AVG), in het Engels GDPR genoemd. De vraag van een van de aanwezigen was niet moeilijk te beantwoorden. “Natuurlijk, Amerikaanse bedrijven hebben zich gewoon te houden aan de wetgeving van het betreffende land. Dus dat doen wij ook.” Het was een interessante paneldiscussie, al bleek dat er nog steeds veel onduidelijkheid en angst leeft onder bedrijven. Dat is niet altijd gegrond, denk ik. De basis van de AVG of GDPR is namelijk niet nieuw. Eerder was er de Europese privacyrichtlijn en met de GDPR wordt deze wet verder aangescherpt. Omdat het niet zo nieuw is als het lijkt, zijn veel bedrijven dan ook beter voorbereid dan ze zelf beseffen. Optimale security en privacy zijn al langer een topic.
Uw bedrijf is – als het goed is – toch al gewend te melden als er datalekken zijn, al verplicht zorgvuldig om te gaan met de data van anderen en ook om deze goed te beschermen. Dit zijn allemaal dingen die al bestonden. Er komen wel een aantal dingen bij, waar een bedrijf zich wat bewuster van moet zijn. Zoals het recht om data mee te nemen. Een bedrijf kan bovendien niet langer met lappen tekst aan komen waarbij mensen in een keer toestemming verlenen voor het gebruik van hun gegevens. Denk intern dus na hoe dit goed in te richten.
Veel bedrijven hadden dit soort zaken echter gewoon al op orde, voor hen verandert er dus niet zoveel en zij liggen op koers om aan de GDPR te voldoen. Is dat in het verleden niet op de juiste wijze gedaan? Vraag dan opnieuw toestemming, zodat u de data mag gebruiken voor de doeleinden die daarvoor waren bedacht.
Het vraagt wellicht ook een iets andere mindset van bedrijven. Het ethisch en verantwoord omgaan met persoonsgegevens klinkt voor sommigen nog als een barrière of last. Laten we echter even teruggaan naar de basis. Voor bedrijven is het goed om te bedenken waarom de GDPR-wetgeving in de eerste plaats belangrijk is. Bekijk het eens vanuit het perspectief van de burger. Als bedrijf is deze wet lastig te vinden omdat hier het verdienmodel op is gebaseerd, maar als burger wilt u toch zelf ook niet dat uw persoonsgegevens worden misbruikt? Mensen willen zelf de controle hebben over hun gegevens. De bottom line is dat bedrijven dit vanuit zichzelf ook moeten willen.
En wanneer u bedenkt dat u al bezig bent met het moderniseren van uw organisatie op de goede weg is hierin, kan de komst van de GDPR alleen maar meevallen.
Lees meer over hoe uw bedrijf voor te bereiden op de site van de Autoriteit Persoonsgegevens.