Commentaar en achtergrond
1 Jaar GDPR: hoe gaan de bestuurders daar mee om?
Privacy was één van de grote Europese thema’s in 2018. Op 25 mei 2018 werd immers de Algemene Verordening Gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), van kracht. Die was toen al meer dan twee jaar eerder aangekondigd. Maar toch schoten de meeste bedrijven pas tegen die deadline echt in actie. Door in te zoomen op de zware boetes bij het overtreden van de strengere privacyregels creëerden sommige consultants in het voorjaar zelfs een soort angstpsychose rond dat vierletterwoord. De ‘meldingsplicht binnen de 72 uur na een lek van persoonsgegevens’ verscheen op elke powerpointslide… Maar waar staan we vandaag, iets meer dan één jaar later?
Respect voor privacy
Het idee achter de regels was alleszins niet mis. De burger moest weer controle en zeggenschap krijgen over zijn data. Want onze persoonlijke gegevens vormen toch wel de brandstof van de datavretende verdienmodellen van allerlei platforms en technologiebedrijven zoals Facebook en Google. Sinds mei vorig jaar kunnen we aan elk bedrijf vragen waarom het onze persoonsgegevens bijhoudt, hoe die verwerkt worden en wanneer ze gewist zullen worden (als we daar zelf al niet om verzoeken). Deze verordening heeft alleszins al voor een kleine mentaliteitswijziging gezorgd: er kwam alom meer aandacht en respect voor onze privacy.
EDPB
Her en der in de media werd de verjaardag van de inwerkingtreding van deze Europese privacywetgeving aangegrepen voor een update. De overkoepelende European Data Protection Board EDPB) bracht zelfs een verklarend filmpje uit. Dit Europees Comité voor gegevensbescherming zorgt als onafhankelijk Europees orgaan voor een consequente en gelijke toepassing van de GDPR in de gehele Europese Unie. Het bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten en van de Europese Toezichthouder voor gegevensbescherming (EDPS). Het EDPB beschikt zelfs over een Nederlandstalige website met richtsnoeren en aanbevelingen.
Hoe implementeren?
Vandaag beseffen alle bestuurders ongetwijfeld dat ze het belang van privacy niet mogen veronachtzamen. Maar verschillende bedrijven worstelen nog met de praktische implementatie. Hier en daar breekt men zich nog het hoofd hoe een dataregister alle datastromen in kaart kan brengen. Welke gegevens moeten nu echt bijgehouden worden? Welke bewaartermijnen zijn er van toepassing? Sommigen begrijpen nog niet goed wat hun data protection officer nu precies moet doen bij een datalek om het risico op een boete maximaal te beperken. De compliance – en niet alleen voor de HR-processen – kostte alleszins meer tijd, mensen en middelen dan algemeen verwacht. Vooral het opstellen van verwerkersovereenkomsten, het aanstellen en opleiden van de data protection officer en het verwerken van richtlijnen en procedures waren niet bepaald goedkoop. Hier en daar is er zelfs een tekort aan gespecialiseerde kennis.
GDPR kan alle procedures in een onderneming beïnvloeden. Er zijn ook duidelijke bedrijfsrisico’s aan verbonden, al was het maar omdat de gevoelige gegevens overal verspreid kunnen zitten. Daarom moet ook de raad van bestuur betrokken worden bij het uitwerken en budgetteren van het nieuw privacybeleid en het aanwijzen van de verantwoordelijken.
Trage start van de GBA
Volgens een eerste overzicht van eind januari zijn er hier vorig jaar na de invoering van de AVG amper 442 datalekken gemeld. Ondertussen waren er in buurland Nederland al 21.000 datalekken gemeld, zevenveertig keer meer dan in België. Dit ene cijfer symboliseert misschien nog het best het feit dat de Belgische overheidsinstantie niet tijdig klaar was om op te treden met richtlijnen, controles en (indien nodig) boetes. Pas op 29 maart 2019 (!) – elf maanden na de oprichting – heeft de Kamer van Volksvertegenwoordigers de nieuwe directie van de Belgische Gegevensbeschermingsautoriteit kunnen benoemen.
Voorzitter David Stevens liet ondertussen verstaan dat zijn privacywaakhond een tandje zal bijsteken om de naleving van de Europese privacyregels beter te verzekeren. De tijd van sit back and relax voor de Belgische bedrijven en hun bestuurders lijkt dus voorbij. Zijn GBA heeft alvast ruimere bevoegdheden dan de voorganger – de Privacycommissie. Het GBA kan nu zo’n zestig personeelsleden inzetten in zijn vijf entiteiten: het algemeen secretariaat, de eerstelijnsdienst voor het opvolgen van klachten, de inspectiedienst voor het controleren van bedrijven, de geschillenkamer en het kenniscentrum dat adviezen verstrekt. Deze eigen Gids voor KMO’s beantwoordt alvast veel praktische GDPR-vragen.
Boetes
De gegevensbeschermingsautoriteiten in onze buurlanden zijn van meet af aan wel kordaat opgetreden. In Frankrijk werden het afgelopen jaar meer dan 20 boetes uitgedeeld. In Groot-Brittannië zelfs meer dan 30. De hoogste bedroeg ruim 2,5 miljoen euro en de EDPB rapporteerde dat de verschillende nationale agentschappen voor gegevensbescherming samen al voor meer dan 56 miljoen euro boetes opgelegd hebben. De grootste dossiers waren Google, Facebook, Yahoo en diverse overheidsinstanties. De Belgische GBA heeft pas eind mei 2019 zijn eerste boete uitgesproken. Een burgemeester had persoonsbestanden van de gemeente gebruikt voor een e-mail met verkiezingsdoeleinden: 2000 euro boete. Als signaal kan het tellen: privacy is belangrijk en alle databewerkers, en zeker die van de overheid, moeten hun verantwoordelijkheid opnemen.
Procesmatige aanpak!
Vandaag moeten bestuurders kunnen beschikken over alle technologieën en inzichten die nodig zijn om een goed bestuur te realiseren. Een onderneming moet daarom al zijn processen aanpassen: zoveel is intussen duidelijk. Organisaties moeten daarvoor ook een ethisch verantwoorde, gezonde en verstandige “data governance” gaan ontwikkelen. Bestuurders mogen GDPR dan zeker niet als een “check the box” verhaal benaderen. Het is veel meer dan het aanpassen van de cookie-voorwaarden op de website en de strengere controle op de toegang voor databestanden.
GDPR, 1 jaar later? Vraag toch maar eens hoe het management zich intern heeft georganiseerd…
Moderne governance
Ook moderne governance van Diligent helpt om het eventuele gebrek aan gegevens, inzichten en beveiliging aan te pakken. Alle noodzakelijke inzichten en informatie worden dan op een binnen handbereik van bestuurders en managers geplaatst voor overleg en samenwerking. Lees meer over hoe moderne governance kan helpen bij deze en andere
governance-uitdagingen.
Board Portal Buyer’s Guide
With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.
AANBEVOLEN BLOGS
mei 31, 2021
Hoe corona goed bestuur optilt tot Modern Governance
De huidige pandemie heeft niet alleen nadelen, het is al eerder gezegd. Dottie Schindlinger, executive director van onderzoeksinstituut en denktank Diligent Institute, ziet momenteel een kwantumsprong naar een veel meer hands-on bestuur van ondernemingen. Naar Modern Governance. Modern Governance begint bij een technologie- en datagedreven informatievoorziening. Dit leidt vervolgens tot…
februari 1, 2021
Onderschat UNIZO-Code voor Goed Bestuur de informatiestromen?
In het najaar van 2020 publiceerde Belgische KMO-ondernemersorganisatie UNIZO een nieuwe code voor goed bestuur. De auteurs werkten hun code uit als een praktische handleiding vol concrete aanbevelingen, flexibel toe te passen naar gelang de fase in de levenscyclus, de omvang, de ambities of andere eigenheden van de onderneming.
januari 18, 2021
Vier scenario’s waarom een veilig virtueel platform onmisbaar is
Een veilig virtueel platform is nu, maar ook in de toekomst, voor iedere organisatie van groot belang. Het Nieuwe Werken neemt alleen maar toe, waarmee de hoeveelheid data dat beschermd moet worden ook steeds verder groeit. Producten met een hoge mate van beveiliging, zoals Diligent Boards en Diligent Messenger, zijn…
© 2023 Diligent Corporation