De GDPR verbreedt de privacykloof tussen de EU en VS. Miljardenboetes dreigen. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
Boetes voor privacyschendingen zijn vaak relatief schamel vergeleken met de winsten die vallen te behalen. Zeker giganten als Google en Facebook kunnen boetes van tonnen en zelfs miljoenen best dragen. Ook als opgelegde boetes oplopen tot boven de honderd miljoen euro valt er zakelijk wel een mouw aan te passen om het als ‘investering’ te zien voor gewonnen marktaandeel, vergaard gegevensgoud of ander gewin.
De aankomende Europese databeschermingsregels GDPR (in het Nederlands: AVG) brengen hier verandering in. Privacywaakhonden zoals de AP (Autoriteit Persoonsgegevens) in Nederland kunnen dan veel sneller veel hogere boetes opleggen, die bovendien per overtreding gelden en dus flink kunnen oplopen. Sociale-mediareus Facebook zou met de huidige drie overtredingen en een omzet van 26 miljard euro dan een boete van maximaal 2,8 miljard euro tegemoet kunnen zien. De huidige aanpak middels voorwaardelijke en relatief lage boetes is slechts kinderspel. De GDPR gaat tech-bedrijven dus miljarden kosten. Wat vind jij?
Ik vind de stelling ‘De GDPR gaat tech-bedrijven dus miljarden kosten’ iets te kort door de bocht. Maar dat is vast ook Jasper’s bedoeling om reacties uit te lokken 🙂
Ik heb vooral moeite met ‘gaat’, ‘dus’, ’tech-‘ en ‘miljarden’.
Dat (tech-)bedrijven en ook overheden moeten investeren in het kunnen voldoen aan de AVG per 25 mei 2018, en daarmee mogelijk hoge boetes kunnen vermijden, is evident. Denk alleen al aan het in kaart brengen van alle verwerkingen rondom persoonsgegevens, inclusief gegevens in het datawarehouse, data lake of gewoon ergens op de file server. Dat is best een klus. En worden de persoonsgegevens ook alleen gebruikt voor het initiële doel? Heb ik dit als organisatie geborgd? Heb ik voldoende zicht op de gevolgen/risico’s? Zou ik daar een PIA (Privacy Impact Assessment) voor moeten uitvoeren? Of hoe om te gaan met datalekken, wetgeving nu al actief, het al dan niet verplicht aanstellen van een FG, schrijven van werkbaar beleid/richtlijnen, creëren van awareness in de organisatie, IT-/security aspecten etc.
Ik vind het 10-stappenplan van de Autoriteit Persoonsgegevens een goed startpunt waar een organisatie zich aan zou kunnen spiegelen waar ze staan, en wat er allemaal (nog) moet gebeuren: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/voorbereiding-op-de-avg
Ik merk ook vanuit mijn gesprekken met verschillende organisaties rondom GDPR/AVG in Nederland, dat het onderwerp zeer zeker op de agenda staat, maar nog niet overal binnen een organisatie is ‘geland’. Met andere woorden, wat betekent het voor de ‘werkvloer’, het data science team, de marketing afdeling etc. Wat mag nu wel en wat mag nu niet? Wat is nu precies de rol / reikwijdte van een DPO/FG?
Mijn versie van de stelling zou zijn: ‘De GDPR kan bedrijven onnodig veel geld gaan kosten, tenzij men zich vanaf nu gedegen gaat voorbereiden’!
Het wordt tijd dat we dit in context zien. Bedrijven hebben jaren de privacy veronachtzaamd en moeten nu dus niet zeuren over extra kosten. Als ze meteen vanaf het begin privacy hadden opgenomen in de bedrijfsvoering/functionaliteit hadden ze nu niet op de blaren hoeven te zitten.
Ik vind de stelling ‘De GDPR gaat tech-bedrijven dus miljarden kosten’ iets te kort door de bocht. Maar dat is vast ook Jasper’s bedoeling om reacties uit te lokken 🙂
Ik heb vooral moeite met ‘gaat’, ‘dus’, ’tech-‘ en ‘miljarden’.
Dat (tech-)bedrijven en ook overheden moeten investeren in het kunnen voldoen aan de AVG per 25 mei 2018, en daarmee mogelijk hoge boetes kunnen vermijden, is evident. Denk alleen al aan het in kaart brengen van alle verwerkingen rondom persoonsgegevens, inclusief gegevens in het datawarehouse, data lake of gewoon ergens op de file server. Dat is best een klus. En worden de persoonsgegevens ook alleen gebruikt voor het initiële doel? Heb ik dit als organisatie geborgd? Heb ik voldoende zicht op de gevolgen/risico’s? Zou ik daar een PIA (Privacy Impact Assessment) voor moeten uitvoeren? Of hoe om te gaan met datalekken, wetgeving nu al actief, het al dan niet verplicht aanstellen van een FG, schrijven van werkbaar beleid/richtlijnen, creëren van awareness in de organisatie, IT-/security aspecten etc.
Ik vind het 10-stappenplan van de Autoriteit Persoonsgegevens een goed startpunt waar een organisatie zich aan zou kunnen spiegelen waar ze staan, en wat er allemaal (nog) moet gebeuren: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/voorbereiding-op-de-avg
Ik merk ook vanuit mijn gesprekken met verschillende organisaties rondom GDPR/AVG in Nederland, dat het onderwerp zeer zeker op de agenda staat, maar nog niet overal binnen een organisatie is ‘geland’. Met andere woorden, wat betekent het voor de ‘werkvloer’, het data science team, de marketing afdeling etc. Wat mag nu wel en wat mag nu niet? Wat is nu precies de rol / reikwijdte van een DPO/FG?
Mijn versie van de stelling zou zijn: ‘De GDPR kan bedrijven onnodig veel geld gaan kosten, tenzij men zich vanaf nu gedegen gaat voorbereiden’!
Kosten en opbrengsten zijn (ook) in dit geval tegen elkaar weg te strepen. Wat belangrijker is dat de overheid namens de burgers de grenzen definieert en bepaalt wat wel en wat niet “mag”. Daarmee ontstaat duidelijkheid over de “kosten” en ook over wie die zou moeten betalen…hoewel, de burger krijgt altijd de rekening…
Pro-actieve wet- en regelgeving is altijd beter dan (eindeloos) symptomen bestrijden. Misschien dat we de overheid hierbij een handje kunnen helpen?
(Ik ben vòòr privacy, vòòr veiligheid van transacties in het ICT domein en vòòr een open internet; teneinde paradoxen te voorkomen wèl in die volgorde…)
Privacybeleid EU gaat tech-bedrijven miljarden kosten’
Zo kan je ook zeggen
– De milieuwetgeving gaat de chemische bedrijven miljarden kosten
– De verkeersveiligheid gaat de autobouwers miljarden kosten
– Code Tabaksblad (en SoX) gaat de financiële sector miljarden kosten
– Handhaving van de wetten gaat de Nederlandse overheid miljarden kosten
– verzin er zelf nog maar een paar bij
Sommige dingen gaat een sector niet zelf oplossen. Sommige dingen kost een bedrijf geld. Als het ene bedrijf wel en het andere bedrijf niet de moreel goede dingen doet, dan is er geen level playing field meer. Bedrijven zijn er namelijk om (financiële) waarde te genereren voor de eigenaren. Kosten kunnen ze dus missen als kiespijn. Zeker als de concurrent de morele verplichtingen niet wil nakomen. Dat wordt zelfs aangeleerd in opleidingen en cursussen. dat wordt dus geexamineerd. Je carrièrekansen zijn mede afhankelijk van de wil tot winstmaximalisatie (dus minimaliseren van kosten). Dat is niet goed, dat is niet verkeerd, dat bestaat gewoon. Net zoals een hond blaft. dat bestaat gewoon. Je kan een hond dus niet verwijten dat het blaft.
Maar goed. Dan blijft er maar 1 ding over. Wetgeving die de onderliggende belangen borgen met behoud van het level playing field. Dat geldt voor
– milieu
– verkeersveiligheid
– IT veiligheid
– Privacy (niet in absolute zin, maar wel maximalisering van ieders persoonlijke soevereine vrijheid, jouw fundamenteel recht volgens vele conventies, verdragen en wetten.)
Het wordt tijd dat er meer wetgeving komt rond IT. Niet om bedrijven de hinderen, maar om mij (en u allen) te beschermen.
De GDPR is net zoals alle andere regeldruk een beproefd middel om de kleinere partijen klein te houden zodat de grote jongens (die met gemak advocaten en slepende rechtszaken aankunnen) vrij spel houden.
Alleen is er in dit geval ook een voordeel te behalen voor de privacy bewuste Europese burger. Die heeft nu de nodige ondersteuning van de wetgeving om privacy af te dwingen.
Dat het in de praktijk nog vaak mis zal gaan zal geen verrassing zijn. Maar het zal hopelijk uiteindelijk wel tot de hoognodige mentaliteitsverandering leiden.
Hoe uiteindelijk deze wet geïmplementeerd en vooral gecontroleerd gaat worden is nog de vraag. Want op dat vlak kan het ook voor komen dat er te weinig bemensing gaat zijn om overtredingen op te sporen en die ook aan te kaarten. Ook weer een beproefde methode om wetgeving onschadelijk te houden.