Hoewel er een hele heisa was in mei 2018 rond General Data Protection Regulation (GDPR) en de boetes die opgelegd kunnen worden, zou je tegenwoordig weleens de indruk kunnen hebben dat het een storm in een glas water was. Ligt hier nog iemand van wakker? Data privacy is een basisrecht van ons allemaal en dit is wel degelijk te merken in onze dagelijkse activiteiten, met als actueel thema wat er vandaag allemaal te doen is rond contact tracing. Anderzijds merken we toch ook in onze dagelijkse activiteiten hoe makkelijk het is je uit te schrijven uit een nieuwsbrief of het expliciet toestemming geven om je persoonsgegevens te mogen verwerken door een vakje aan te vinken met korte omschrijving in duidelijke taal.    

GDPR zal niet onmiddellijk op de achtergrond verdwijnen, zeker niet nu de gegevensbeschermingsauthoriteit (GBA) stilaan op volle toeren draait, we allemaal meer digitaal werken en dus het risico op cyber criminaliteit en datalekken reëel is. De cijfers liegen er niet om: in Nederland waren er in 2018 20.881 meldingen van datalekken, een stijging van 109% ten opzichte van het aantal meldingen in 2017. In België zijn we beter bezig, lees meer bescheiden/beschermend want in 2019 heeft de GBA 861 meldingen binnen gekregen, bijna een verdubbeling ten opzichte van de datalekken in 2018. De 302 klachten die de GBA ontving bleven ook niet zonder gevolg, er werden al boetes opgelegd voor inbreuken in het kader van verkiezingscampagnes en een tekortkomend cookiebeleid op een website. De meest recente en meteen recordboete van 600.000€ gaat naar Google Belgium, omdat de zoekmachine het recht van een burger om vergeten te worden niet naleefde.

De wetgeving mag zeker niet geminimaliseerd of genegeerd worden en informatieveiligheid moet op de agenda staan van elke directie, hoe groot of klein de organisatie ook is. Het is ook verkeerd om aan te nemen dat er geen risico is omdat er een Data Protection Officer (DPO) is aangesteld, het begint allemaal bij een informatieveiligheidsbeleid gedragen en goedgekeurd door de directie. Een DPO heeft meer dan een full time job, maar vaak wordt de functie nog uitgevoerd in combinatie met andere taken. Belangrijk aandachtspunt hierbij is dat er in geen enkel geval een belangenconflict mag zijn. Een CEO die ook DPO is, kan dus niet.

Werken met een externe DPO biedt dus de mogelijkheid om mensen die intern met informatieveiligheid bezig zijn te ondersteunen. Organisaties die niet verplicht zijn met een DPO te werken kunnen zich op die manier toch vergewissen van een correcte naleving van de wetgeving, in het belang van hun klanten en hun medewerkers. Bovendien is het makkelijker om iemand extern aan te stellen om mensen gemotiveerd te krijgen en een goede balans te vinden tussen gebruiksgemak en veiligheid. Want het is wel degelijk het menselijke aspect dat aan de basis ligt van de meeste datalekken.

Ik heb mij gecertifieerd als DPO omdat ik ervoor wil zorgen dat mijn klanten GDPR compliant zijn. Ik wil hen behoeden van het risico op boetes, datalekken en ontevreden klanten. Daarom zal ik dit aspect steeds meenemen in mijn adviesverlening, zelfs als dat niet meteen wordt gevraagd of verwacht. ‘Paperless’ en ‘Secure’ zijn wat mij betreft onlosmakelijk met mekaar verbonden.