Meer dan de helft van de organisaties is niet voorbereid op de GDPR, terwijl de wetgeving in 2018 wordt ingevoerd. Hoogleraar Gerrit-Jan Zwenne laakt de houding van het bedrijfsleven. ‘Als ik eerlijk ben, was dit te verwachten.’
Veel organisaties zijn nog niet klaar voor Europese General Data Protection Regulation (GDPR), de opvolger van de Wet bescherming persoonsgegevens. Hoogleraar Recht en de Informatiemaatschappij Gerrit-Jan Zwenne noemt zo’n lakse houding ‘onverstandig’. ‘De bewustwording, de cultuuromslag, vereist vermoedelijk eerst een paar grote ongelukken voordat het overal tot actie leidt.’ Meer dan de helft van de organisaties is nog niet begonnen met het treffen van voorbereidingen om te kunnen voldoen aan de GDPR.
Zie ook: GDPR dwingt big data tot volwassenheid
‘Als ik eerlijk ben, was dit te verwachten,’ vervolgt Zwenne. ‘Het is natuurlijk niet verstandig, maar tot dusver heeft naleving van privacywetgeving niet erg veel aandacht gekregen. Het zou nu wel moeten, onder andere omdat er heel serieuze boetes kunnen worden opgelegd.’
Hoge boetes GDPR
Er zijn straks twee boetecategorieën. Er zijn boetes van ten hoogste 10 miljoen euro of 2 procent van de wereldwijde omzet van de verwerkingsverantwoordelijke of verwerker en er zijn boetes van ten hoogste 20 miljoen euro of 4 procent van de wereldwijde omzet. Op dit moment kan de Autoriteit persoonsgegevens als boetes opleggen van 820.000 euro, maar tot dusver is dat nog niet gebeurd. De hoogleraar verwacht dat dit op korte termijn zal veranderen. ‘Ik denk dat de nieuwe AP-voorzitter Aleid Wolfsen zijn visitekaartje wil afgeven’.
Reputatieschade
De boetes zijn volgens Zwenne niet de enige schade die organisaties kunnen oplopen. ‘Een datalek moet worden gemeld bij de toezichthouder. En als er klantgegevens gelekt zijn, moet dat ook aan de klanten worden verteld. Dat zal voor bedrijf en overheid geen prettig bericht zijn. Dat gaat je omzet kosten en leidt tot reputatieschade, doordat je niet goed op de gegevens hebt gepast.’
