Weet u wat GDPR precies voor uw organisatie inhoudt?

Hebt u al gehoord over GDPR? Ongetwijfeld. Ik neem aan dat u inmiddels weet dat het om de bescherming van persoonsgegevens gaat binnen de Europese Unie. Maar beseft u ook wat dit precies voor uw organisatie of bedrijf inhoudt?

Door Yvette van Gemerden, privacy-expert bij PwC

Vanaf 25 mei 2018 moet uw bedrijfsvoering in overeenstemming zijn met de General Data Protection Regulation (GDPR), in het Nederlands Algemene Verordening Gegevensbescherming (AVG) genoemd. 25 mei klinkt als ver, maar de klok tikt onverminderd door. Als u nu niet weet waar in uw bedrijf de ‘gaten’ zitten, is het de vraag of u op tijd klaar bent. En krijgt uw bedrijf wellicht hoge boetes.

Weet u wat GDPR precies voor uw organisatie inhoudt?

Ongevraagde e-mails

Want wat kan er gebeuren? Laten we als voorbeeld een verzekeraar nemen. Meneer Pieterse is het zat dat hij nog steeds ongevraagde e-mails krijgt met aanbiedingen, terwijl hij al weken terug zijn toestemming heeft ingetrokken. Hij klaagt bij de verzekeraar en vraagt of het bedrijf al zijn gegevens uit de databases verwijdert.

Toezichthouder doet onderzoek

Ondanks dat verzoek blijft meneer Pieterse mails ontvangen. Hij besluit dit te melden aan een veelbekeken consumentenprogramma. De redactie van het tv-programma besteedt aandacht aan de zaak en vraagt ook de toezichthouder, de Autoriteit Persoonsgegevens, om een reactie. De toezichthouder begint vervolgens een onderzoek bij de verzekeraar en vraagt bij het bedrijf alle documentatie over de verwerking van persoonsgegevens op. De toezichthouder besluit op basis daarvan om bij de verzekeraar ook een onderzoek op locatie uit te voeren om een nog beter beeld te krijgen van de situatie. Daaruit blijkt dat de verzekeraar de GDPR-regels niet voldoende naleeft. De toezichthouder stelt uiteindelijk de definitieve bevinding op en maakt die openbaar.

Naast boete ook imagoschade

De toezichthouder sommeert de verzekeraar vervolgens de geconstateerde gebreken binnen de aangegeven termijnen te herstellen. Lukt dat niet, dan kan de toezichthouder maatregelen treffen om het stopzetten van de overtredingen af te dwingen. De toezichthouder kan hiertoe onder meer een last onder dwangsom of een boete opleggen. De laatste kan oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet van de verzekeraar. Bij die boete hoeft het niet te blijven. Naast natuurlijk de imagoschade voor de verzekeraar kan ook nog een claim worden ingediend.

Implementatie nieuwe privacyregels

Wat ging in dit voorbeeld nu mis en hoe kunt u voorkomen dat u in een vergelijkbare situatie belandt? Het begint met het besef dat de implementatie van de nieuwe privacyregels niet een ‘IT-projectje’ is, maar invloed heeft op alle geledingen van uw organisatie. U moet precies weten welke persoonsgegevens u hebt, waar u ze bewaart en waarvoor u ze precies gebruikt. Kunt u met één druk op de knop alle gegevens van een willekeurige klant of leverancier naar boven halen?

Veilige IT-systemen

Verder is het belangrijk dat u een goed protocol hebt. Waar moet de consument die zijn gegevens wil inzien, laten herstellen of verwijderen, zich precies melden? Hoe verzekert u zich ervan dat de consument geen valse identiteit opgeeft en voorkomt u dat persoonsgegevens van de verkeerde persoon worden verwijderd of verstuurd? Om welke gegevens gaat het dan precies en zijn er juridische of fiscale restricties om bepaalde gegevens ondanks een verzoek tot verwijdering toch te bewaren? Wie zorgt ervoor dat de juiste gegevens worden verwerkt en wie controleert dat? Hoe informeert u de consument? Allemaal vragen waarop u antwoord moet kunnen geven en die dus enerzijds vragen om veilige en goed met elkaar communicerende (IT-)systemen en anderzijds om duidelijke en adequate procedures.

Kansen voor bedrijven

Bovenstaand is maar een voorbeeld, maar laat wel zien dat bedrijven aan de slag moeten om tijdig te kunnen voldoen aan GDPR. De nieuwe Europese privacyregels bieden zeker ook nieuwe kansen voor bedrijven. Zo ontstaat er een gelijk speelveld voor bedrijven binnen en buiten de EU die goederen en diensten aanbieden aan personen in de EU. In alle lidstaten gelden straks dezelfde privacyregels.

Dus nogmaals: neem GDPR serieus en ga er zo snel mogelijk mee aan de slag (als u dat nog niet hebt gedaan). Voor u het weet, is het mei 2018.

Contact

Yvette van Gemerden

Partner, PwC Netherlands

Tel: +31 (0)88 792 54 42

Volg ons