GDPR bestaat 1 jaar

Op 25 mei bestaat de GDPR-wetgeving 1 jaar. In die tijd evolueerde de algemene perceptie van "moet-dat-nu-echt?" naar "must-have" voor elke moderne organisatie. Ondertussen maken ook 12 vennoten gebruik van de expertise van onze dienst Informatieveiligheid. Over de GDPR bestaan echter nog steeds heel wat misverstanden. Daarom onderscheiden we voor u de feiten van de fabels.

Feit of fabel?
  • Er moet voor alles toestemming gevraagd worden
    Fabel. Je hebt enkel een legale ‘verwerkingsgrond’ nodig, dat wil zeggen een wettelijke basis waarop je je als organisatie kan baseren om deze gegevens te mogen verwerken. Er zijn in totaal zes verwerkingsgronden, toestemming is hier slechts één van. De vele e-mails die je tot vervelens toe ontving in de aanloop naar de invoering van GDPR, waarin voor alles en nog wat toestemming gevraagd werd, waren dus vaak overbodig. In vele gevallen moest er geen toestemming gevraagd worden. Wat wel klopt is dat de manier waarop toestemming gevraagd kan worden wat strenger geworden is en dat er vaker toestemming moet gevraagd worden dan voordien, maar niet voor alles dus.
     
  • Er was een GDPR ‘deadline’
    Fabel. 25 mei 2018 was naast een deadline vooral ook een nieuw begin. GDPR is helaas geen eenmalige oefening, maar een continue proces. Het gaat om zeer complexe wetgeving en de scope is zeer breed. Alle processen GDPR-compliant maken is een werk van lange adem. Het was dan ook nagenoeg onmogelijk om op 25 mei volledig GDPR-compliant te zijn. Zelfs indien alles perfect GDPR-compliant is duiken er in elke organisatie na verloop van tijd onvermijdelijk nieuwe gegevensverwerkingen op. Deze processen moeten op hun beurt ook voldoen aan de GDPR-wetgeving. Er is ook een constante technologische en wettelijke evolutie, waardoor veranderingen elkaar zeer snel opvolgen. Met GDPR moet dus blijvend rekening gehouden worden.
  • Er kunnen zeer hoge boetes opgelegd worden
    Feit. De boetes kunnen inderdaad zeer hoog oplopen, tot wel twintig miljoen euro of 4% van de wereldwijde omzet. Dit betekent echter niet dat er bij elke overtreding onmiddellijk boetes van deze grootteorde worden uitgedeeld. Dit hangt af van de aard en de grootte van de inbreuk. Voor kleinere overtredingen zijn er heel wat andere straffen mogelijk, zoals bijvoorbeeld gedwongen worden de gegevensverwerking stop te zetten. Het opleggen van monsterboetes is niet de achterliggende intentie van de GDPR, deze worden pas gebruikt als laatste toevlucht.