EU GDPR: waarom doet het bedrijfsleven nog nauwelijks iets?
De General Data Protection Regulation die op korte termijn van kracht gaat worden zal forse organisatorische en technische consequenties hebben voor bedrijven en organisaties.
De nieuwe Algemene Verordening inzake Gegevensbescherming kent nog wat grijze gebieden die verduidelijkt moeten worden, en het is ook nog niet zeker hoe hoog straks de boetes voor welke overtredingen zullen zijn. Maar dat de nieuwe regelgeving, die dezer dagen haar finale vorm zal krijgen, forse consequenties zal hebben voor de beveiliging van systemen, voor de organisatie zelf én voor de manier waarop we omgaan met ‘data breaches’, is evident.
Op IDG-connect wordt vastgesteld dat we in elk geval al kunnen weten dat de meest recente voorstellen over de (hoogte van) boetes spreken over 2 tot 5% van de jaaromzet, met een max van € 100 miljoen.
En toch, zo stelt de auteur, zijn er nog heel veel organisaties die niet eens weten waar GDPR voor staat. Laat staan dat ze zich erop voorbereiden, al nadenken over het benodigde instrumentarium en procedures.
Daar zijn drie – niet-valide – redenen voor aan te wijzen:
- krimpende ICT-budgetten
- weinig overleg en samenwerking tussen IT en de juridische afdeling
- dilemma’s in de afweging van belangen – privacy versus (de marketingpush naar) personalisering
Met de opkomst van het IoT (internet-of-things) worden dit soort dilemmata alleen maar groter. Meer dan ooit tevoren is de silo-organisatie van de meeste ondernemingen een gevaarlijk risico aan het worden. Nieuwe diensten en producten mogen niet langer door R&D in ‘splendid isolation’ worden verzonnen. Naast marketing zullen ook juristen en ICT-ers vanaf het eerste begin bij het proces betrokken moeten worden – om verspilling van fondsen te voorkomen.