Eén jaar GDPR: echte storm of licht briesje?

De met veel tromgeroffel (en angst) aangekondigde GDPR leek wat op het einde van de wereld dat de Maya’s voor 2012 hadden voorspeld. Hoe zit het één jaar later met de gegevens van KMO’s?

Zegt het je nog iets, die GDPR of Algemene Verordening Gegegevensbescherming (AVG)? De Verordening werd op 25 mei 2018 in heel Europa van kracht en had (en heeft) tot doel om de wetgeving op de bescherming van persoonsgegevens te harmoniseren in de Unie. Het ging om een echte omwenteling, met impact op alle bedrijven, van multinationals tot KMO’s, zonder de overheidsinstellingen te vergeten. Met andere woorden: de hele structuur die persoonsgegevens verzamelt en verwerkt (van klanten, leveranciers, werknemers enz.) stond op losse schroeven. Hoever staat het ermee na één jaar?

Bewustwording

Je hoort wel eens dat dit eerste jaar dient voor “bewustwording”, zowel bij de bedrijven als het publiek in het algemeen. De Facebook-schandalen en de torenhoge boetes voor Google en consoorten hebben uiteraard geholpen om de hele samenleving wakker te schudden … Een jaar geleden lagen de kaarten nog anders. Toen wilden vooral de KMO’s zich optimaal voorbereiden voor D-day. Maar uit onderzoek (bijvoorbeeld in Frankrijk) blijkt dat veel bedrijven nog maar het “strikte minimum” hebben gedaan (als ze al in actie zijn geschoten). Dat het vooral om “window dressing” gaat, is begrijpelijk als je kijkt naar de complexiteit en omvang van de kwestie.

Lekken en informatiebehoefte

Ook de “nieuwe” Belgische Gegevensbeschermingsautoriteit (GBA) maakte eind 2018 een eerste stand van zaken op. Haar opmerkelijkste bevinding was de stijging van het aantal datalekken dat werd gemeld. In 2017 ging het nog maar om 13 aangegeven lekken, maar na enkele maanden GDPR al om 317! Misschien ligt de verklaring gewoon in het feit dat bedrijven nu verplicht zijn om incidenten te melden. De onafhankelijke controle-instantie kreeg ook steeds meer vragen om informatie, klachten van burgers en adviesaanvragen. En hoe zit het met de sancties waarin Europa voorziet? Eind 2018 was er nog geen enkel dossier geopend voor onderzoek, maar naar het schijnt vinden er al volop controles plaats.

Niet afwachten … handelen!

Als de boetestok achter de deur je niet in beweging brengt, dan misschien de wortel? Want GDPR verplicht ons om op een heel andere manier naar databeheer te kijken en daar kan niemand aan ontsnappen. Neem dus het voortouw! Want een slimme verwerking van alle gegevens kan je talrijke onvermoede zakelijke kansen bieden. Op die manier waarde creëren is een stevige stimulans om GDPR verder uit te rollen. Een betere bescherming tegen cybercriminaliteit natuurlijk ook. Zoals wij reeds eerder schreven, begin je in elk geval beter laat dan nooit aan een herziening van je strategie inzake gegevensbeheer en cyberbeveiliging.

Hulpmiddelen

Uiteraard stel je nu de vraag: “Waar begin ik?” Je kan advies vragen aan talrijke experts op juridisch en informaticagebied en de GDPR-publicaties zijn niet meer bij te houden. Maar het is ook perfect mogelijk om meteen de handen uit de mouwen te steken. Begin bijvoorbeeld met een zelfdiagnose: welke processen gebruik je nu, waar zitten er hiaten en wat heb je nodig om die te dichten? Werk dan een actieplan uit. Wil je meer advies? De GBA biedt je een gids in 13 stappen voor een goede voorbereiding.

Nu heb je geen uitvlucht meer: grijp met beide handen deze kans om anders om te gaan met gegevens!