De GDPR, een (boete)hype?

Olaf van Haperen, hoofd van ons privacy-team weigert mee te gaan in wat hij de GDPR boete-hype noemt: "wij willen niet verkopen door angst te zaaien" is zijn standpunt. "De GDPR of AVG moet zeker heel serieus genomen worden maar iedereen die met of over boetes schreeuwt heeft het niet begrepen", meer hierover in onderstaand artikel:

De GDPR, een (boete)hype?

De media zijn er nu al bijna twee jaar vol van: de GDPR (AVG) komt eraan en ‘het gaat boetes regenen’. Zelfbenoemde privacy-experts buitelen over elkaar heen met angstverhalen in de hoop zoveel mogelijk opdrachten te scoren. ‘Wc-eend-opleidingen’ voor data protection officer (DPO) schieten als paddenstoelen uit de grond, waarbij zelfs heuse certificaten worden uitgereikt. Dit terwijl er in Nederland (in tegenstelling tot recent in Spanje) door de Autoriteit Persoonsgegevens (AP) nog geen enkel instituut is geaccrediteerd om certificaten uit te reiken.


Olaf van Haperen, managing partner en hoofd van de IT/privacy praktijk van Kneppelhout & Korthals Advocaten in Rotterdam

Angst zaaien voor de GDPR

“Wij ergeren ons bont en blauw aan concullega’s die met het zaaien van angst over boetes hun diensten proberen te verkopen. Zij hebben het doel van de GDPR duidelijk niet begrepen en ook niet hoe de AP hierin staat”, zegt Olaf van Haperen, managing partner en hoofd van de IT/privacy-praktijk van Kneppelhout & Korthals Advocaten uit Rotterdam, recent opgenomen in de TOP16 privacy-juristen door de Academie voor de Rechtspraktijk. “Wij doen juist het tegenovergestelde: we ‘onthypen’ door onze klanten concreet te informeren over waar het wél om gaat in de GDPR. Dat is de introductie van een zorgplicht die van organisaties vraagt actief en vooral bewust bezig te zijn met het beschermen van persoonsgegevens. Dit is een continu proces. Geen enkele organisatie is (nu al) 100 procent compliant en toekomst-proof. Dat is pure illusie. De snelheid van technologische ontwikkelingen samen met continue productontwikkeling maakt dat je dit als proces moet omarmen, zodat je in privacybescherming nooit meer achter de feiten aanloopt.”

“Zie 25 mei 2018 (de dag waarop de GDPR daadwerkelijk van toepassing wordt) als het moment waarop jouw organisatie deze nieuwe zorgplicht moet hebben omarmd. Althans als het moment dat je hiermee aantoonbaar aan de slag bent gegaan. Zoals gezegd, het moet een voortdurend proces zijn en niet iets dat ‘af’ is op die datum. Uiteraard vraagt dit van de board van organisaties aandacht en voorbereiding vóór deze datum; met de voorbereiding van een examen begin je idealiter ook op tijd.”

Enorme boetebevoegdheden

Gaat de AP op enig moment haar tanden laten zien? De boetebevoegdheden waar we in de krant over lezen zijn toch enorm? “Ongetwijfeld gaat er een sanctie volgen wanneer een zorginstelling of gemeente nog altijd geen maatregelen heeft genomen, nadat wéér een datalek voorvalt dat voorkomen had kunnen worden. Maar de insteek van de AP is zeker niet om nu al met boetes te gaan strooien. Zij willen organisaties de helpende hand bieden, systeemtoezicht introduceren en aanmoedigen, uitleg geven over hun privacy-zorgplicht, en richting geven in geval van maatschappelijke of politieke vraagstukken waar de GDPR doorgaans niet concreet in voorziet. De enige boetes die wij in het kader van de GDPR voorzien het komende jaar, zijn handhavingsboetes omdat er iemand bij de AP heeft geklaagd en de AP daardoor wordt gedwongen te handhaven. Dan nog zullen dat geen megabedragen zijn. Bovendien, als de AP dan al een effectieve sanctie wil opleggen, kiest zij liever voor de zogenaamde ‘last onder dwangsom’: een veel effectiever middel om inbreuken op de privacy een halt toe te roepen. Nee, de boetes zijn echt een paardenmiddel en nota bene niet eens een inkomstenbron voor de AP, in tegenstelling tot de toezichthouder in bijvoorbeeld Spanje”, aldus Olaf van Haperen.

Kneppelhout & Korthals Advocaten

Kneppelhout & Korthals Advocaten begeleidt op een Rotterdamse down-toearth manier zowel middelgrote ondernemingen als multinationals bij de implementatie van deze nieuwe privacyzorgplicht. Met gratis self assessments (zoals www.dponodig.nl), (inhouse)trainingen, pragmatische stappenplannen en zelf ontwikkelde standaarden voor PIA’s, datalekprotocollen, verwerkingsregisters, verwerkersovereenkomsten, et cetera.

Implementatie van de GDPR wordt daardoor voor elke organisatie een transparant en pragmatisch proces, precies zoals het kantoor ook zelf bekend wil staan.

Bron: Mijn Zakengids

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.