Het ontstaan van de GDPR wetgeving: waarom eigenlijk?

Het ontstaan van de GDPR wetgeving: waarom eigenlijk?

GDPR: een wetgeving die veel vraagtekens oproept bij bedrijven. Soms terecht, meestal niet nodig. Komende tijd schrijf ik een blogreeks omtrent deze wetgeving, met in elke blog een specifiek onderwerp dat gebaseerd is op een probleem waar ik in mijn dagelijkse werk vragen over krijg.

Vandaag geef ik even een korte, algemene samenvatting over GDPR. Waar komt het vandaan, wat is er veranderd en wat is het doel van GDPR?

Situatie voor intreding GDPR

In de ‘oude’ situatie had elk Europees land zijn eigen wetgeving omtrent de bescherming van persoonsgegevens van Europese burgers en diens privacy en veiligheid. Dat is lang goed gegaan, echter waren de meeste wetgevingen niet berekend op een technologische revolutie en de daarbij komende ontwikkelingen, zoals bijvoorbeeld big data analyse. Kort gezegd, de oude wetgeving van de meeste Europese landen was achterhaald en voldeed niet meer om de privacy en veiligheid van de Europese burger zijn persoonsgegevens te waarborgen.

Even een terugblik op wat er de jaren voorafgaand aan GDPR is gebeurd. Organisaties voelden de behoefte om online gedrag te analyseren om daarop in te kunnen spelen. Dit deden ze om voor te blijven op de competitie, maar ook omdat de consument, die zich veel meer online begaf, hier om vroeg. Om de websitegebruiker beter te kunnen bedienen, zijn vaak (persoons)gegevens nodig. Omdat er geen duidelijke richtlijnen waren met kaders over wat is toegestaan – en wat niet -, zijn organisaties bakken met data gaan verzamelen zonder de websitegebruiker hierover goed te informeren en om toestemming te vragen. Daarnaast was er vaak ook geen opt-out beschikbaar, waardoor de gebruiker geen andere keus heeft dan zijn gegevens vrijgeven voor analyse wanneer hij een specifieke website bezocht.

Intreding GDPR

Voorgaand scenario werd op den duur door de overheid toch als problematisch beschouwd, daarom is GDPR in het leven geroepen. De wet is op 14 april 2016 goedgekeurd door het EU Parlement, wat inhoudt dat het sindsdien een echt geldende wetgeving is. Echter realiseerde het parlement zich ook dat deze wetgeving een flinke impact zou hebben op veel organisaties. Daarom hebben ‘we’ ruim 2 jaar de tijd gekregen om bijvoorbeeld beleid en procedures te schrijven en alles technisch zo in te regelen dat je als bedrijf voldoet aan de wet. Die termijn is nu bijna ten einde, en vanaf 25 mei 2018 zal de wet worden gehandhaafd. Dus, als je na die tijd nog geen beleid hebt, geen procedures om te kunnen voldoen aan de rechten van de Europese burger of bijvoorbeeld nog steeds zonder nadenken op grote schaal persoonsgegevens verzameld, loop je kans beboet te worden door de EU.

Doelen GDPR

GDPR wil iets doen aan de bescherming van de Europese burger. Dit is het hoofddoel van GDPR. Deze wetgeving geldt dan ook niet alleen voor bedrijven die in Europa gevestigd zijn, maar is relevant voor alle organisaties die persoonsgegevens verzamelen van Europese burgers.

Daarnaast wil GDPR kaders geven aan organisaties die persoonsgegevens verzamelen. Omdat deze kaders de afgelopen jaren compleet ontbraken, zijn veel organisaties zich op dit moment totaal niet bewust van welke gegevens ze eigenlijk hebben, waar deze gegevens opgeslagen staan, en wie allemaal toegang hebben tot deze gegevens. GDPR wil hier verandering in brengen. Gegevens verzamelen is niet compleet verboden, maar je moet als organisatie wel netjes toestemming vragen aan de gebruiker, en een goede reden hebben om deze gegevens te verzamelen.

Hierbij is het goed om te vermelden dat GDPR momenteel expres vaag is opgesteld. De kaders zijn zo ruim mogelijk aangehouden, zodat er zo veel mogelijk onder valt. Pas na 25 mei 2018, wanneer de handhaving gaat intreden, en wellicht de eerste rechtzaken volgen, zullen de kaders pas echt goed duidelijk worden.

Vragen?

GDPR gaat niet uitsluitend multinationals aan, benieuwd waarom? Of wil je weten wat jouw organisatie te doen staat om GDPR compliant te worden? Of ben je op zoek naar tips om consent te krijgen met je cookie notificatie? Stel me direct een vraag. Ik zoek het graag voor je uit, en misschien zie je het antwoord terugkomen in een van de volgende blogs!