‘GDPR is upon us’. Veel, zeer veel organisaties, belangenbehartigers in de online sector en eigenlijk in de totale IT wereld zijn druk bezig om te communiceren over deze in mei 2018 in werking tredende en Europees gedragen verordening. Van adviezen, meetings en sessies tot complete programma’s over de gevolgen van deze nieuwe regelgeving en hoe ermee om te gaan.
Mij bekruipt steeds meer het gevoel dat er ook veel business schuilt voor specialisten op allerlei gebieden. Ja natuurlijk dienen partijen die met persoonsgegevens in aanraking komen, goed voorbereid te zijn. Natuurlijk dient er voorlichting over en weer plaats te vinden. Maar GDPR roept bij mij herinneringen op aan het millennium spook. In de jaren voorafgaand aan 2000 was zo mogelijk iedereen bezig met dat moment. En zou men er niet 100% op moeten rekenen of alle systemen en voorzieningen het nog zouden doen. Er werd een hype gecreeerd door elkaar steeds meer te wijzen op wat er allemaal kon gaan gebeuren. En wat gebeurde er daadwerkelijk? Niet veel.
Ik trek deze parallel omdat ik van mening ben dat ook na het in werking treden van de GDPR er niet bijster veel zal gaan veranderen in de dagelijkse gang van zaken tussen de eigenaar van (persoons)gegevens en de verschillende bewerkers/verwerkers ervan. Boetes veranderen natuurlijk en verantwoordelijkheden dienen over en weer duidelijk te zijn. Maar het gedrag zal er niet door veranderen. Aan de achterkant zijn zaken wel veel beter vastgelegd en zal de verstrekkende verantwoordelijkheid die de eigenaar van de persoonsgegevens heeft bij het uit handen geven ervan een heel nieuwe set van overeenkomsten en regelingen gaan geven bij de partijen die deze data in handen krijgen.
Voorbereiding stimuleren is niet gelijk aan angst aanjagen
Maar doet de organisatie waarmee ik (een deel van) de cloud sector vertegenwoordig dan niets? Nee we doen er heel veel aan. Een heel programma wordt sinds begin dit jaar uitgerold. Van netwerkbijeenkomst in het teken van, via factsheets met checklists and to do’s erin, tot concrete nieuwe documenten waarin de verantwoordelijkheden vastgelegd kunnen worden. En dan heb ik het nog niet over de implementatie van de nieuwe verwerkerovereenkomst die een stappenprogramma met zich mee zal brengen. Ik noem dat overigens geen angst verkopen maar goed voorbereid zijn. Maar door er ook zoveel over te communiceren dragen ook wij wel een beetje bij aan die angst voor wat GDPR kan betekenen voor eindgebruikerorganisaties. Dat is een ongewenst bijeffect helaas!
In samenwerking met onze juridische partners, zullen we overigens niet alleen onze achterban proberen te ondersteunen, we zullen ook de eindgebruikers, die bedrijven en organisaties die gebruik maken van cloud gebaseerde voorzieningen nog zeker gaan informeren. Want goed voorbereid betekent in het geval van GDPR dat je als beide partijen (eigenaar/klant en verwerker/leverancier) weet wat je aan elkaar hebt.