Nieuwe privacywetgeving vereist radicale koerswending

Wat zijn de belangrijkste veranderingen ten opzichte van de huidige regelgeving?
Wat er onder ligt is de Algemene Verordening Gegevensverwerking, deze vervangt de Wet Bescherming Persoonsgegevens Daarin is de huidige wetgeving op het gebied van privacy op tal van punten aangescherpt. Zo moet je jouw klanten en bezoekers van je website op een goede, transparante manier toestemming vragen om hun gegevens te verwerken. Je moet vervolgens helder communiceren over de wijze waarop je hun gegevens gebruikt. En daarmee bedoel ik niet dertig pagina’s met ingewikkelde juridische termen, maar wel een korte, en duidelijke uitleg in begrijpelijke taal. Daarnaast krijgen zij meer rechten, bijvoorbeeld om aan te geven dat zij niet willen dat hun gegevens worden De vrijblijvendheid gaat eraf. Kortom, het wordt strikter en strenger. Als je jezelf niet aan de nieuwe regels houdt dan kunnen de boetes die je krijgt opgelegd oplopen tot miljoenen euro’s. De politiek heeft partijen twee jaar gegeven om aanpassingen door te voeren. Die datum is nu minder dan een jaar vooruit. Als je nog niet bent begonnen dan is het de hoogste tijd om nu meteen in actie te komen.

U pleit onder meer voor de aanstelling van een Data Protection Officer (DPO). Waarom is de aanstelling van een DPO noodzakelijk?
Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een DPO aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een DPO niet.
Ten tweede geldt deze verplichting voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
Ten derde zijn organisaties verplicht om een DPO te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
Daarnaast is het ook voor bedrijven die daar niet wettelijk toe gehouden zijn goed om een specialist in huis te hebben in het domein van privacy. Diegene weet precies van alle regels en dus ook hoe daar op te anticiperen. Het ligt bijvoorbeeld voor de hand om protocollen te ontwikkelen.
Meer in het algemeen stel ik dat bedrijven doordrongen moeten zijn van de privacywetgeving. Dat geldt dus voor alle geledingen van je bedrijf, meer in het bijzonder voor de IT-afdeling, Legal en Business.

Een DPO kost geld en het is de vraag of het bijvoorbeeld voor een midden- en kleinbedrijf wel rendabel is om zo iemand voltijds aan te nemen?
Het hoeft niet per se voltijds, het kan bijvoorbeeld ook voor twee á drie dagen per week zijn. Of op externe basis, en dat kan ook ad hoc zijn. Juist bij het MKB merk ik dat de reikwijdte van de GDPR onvoldoende bekend is. Vermoedelijk door een gebrek aan ervaring en kennis. Daarom is het dus nadrukkelijk ook belangrijk voor het MKB om zich snel in deze materie te verdiepen, en vervolgens te handelen.

U spreekt over bedrijven, maar op welke sectoren doelt u nou vooral?
Het is relevant voor alle bedrijven die persoonsgegevens verwerken, maar ik doel dan meer specifiek op automotive, energie en elektronica. Denk maar aan de IoT-toepassingen die zij gebruiken via bijvoorbeeld slimme meters. Daardoor verkrijgen zij automatisch een schat aan data. Maar het wordt dus wel extra belangrijk om scherper te krijgen hoe je hier mee omgaat.

Als  het allemaal zo ingewikkeld wordt dan kan je ook besluiten om online marketing minder belangrijk te maken binnen je marketingmix?
Zoals Procter&Gamble die zo’n beetje helemaal stopt met online marketing, in ieder geval voorlopig. Nee, dat is de oplossing niet. Je kunt ook in de toekomst nog steeds zeer succesvol zijn met online marketing. Het gaat er alleen om dat je dat op een relevante en transparante manier doet.