De GDPR: geen ict feestje

De GDPR: geen ict feestje

In mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht. Doordat deze Europese wet gaat over data privacy hebben veel organisaties het idee dat dit iets is wat bij IT belegd kan worden. En hoewel IT zeker nodig is om te kunnen voldoen aan deze wetgeving, gaat de GDPR veel verder dan de IT-afdeling.

Je zult IT zeker nodig hebben om te helpen met het inrichten van processen, het aanpassen van systemen om ‘privacy by design’ in te richten en het in werking stellen van de administratieplicht. Maar er zijn nog veel meer mensen die met data werken. Die zijn zich vaak meer bewust van de mogelijkheden dan van de risico’s en weten vaal niet goed wat wel en niet mag.

Daar gaat je e-mailmarketing en marketing automation

Als de nieuwe wet in werking treedt en je als organisatie nog niet aan de eisen voldoet loop je het risico dat je na ingang van de GDPR niets meer mag met alle data die je hebt. Je kunt dan opnieuw beginnen met het opbouwen van je database. Eisen zijn namelijk niet alleen dat alle e-mailadressen confirmed opt-in zijn, maar dat je gegevens alleen mag gebruiken voor de doeleinden die expliciet zijn gemeld bij het vragen van toestemming. Ook moet iedereen altijd standaard de privacy-settings hebben die de privacy het meest respecteren (denk bijvoorbeeld aan geen analytics, tracking etc) en mogen mensen je alle data over hen laten wissen. En al deze zaken moeten bewijsbaar zijn om boetes te voorkomen.

Ach die boetes lopen wel los toch?

Ik zou hier niet op gokken, de Autoriteit Persoonsgegevens heeft al eind 2016 te kennen gegeven dat er vanaf 2018 een compleet vernieuwde toezichthouder zal staan. De boete voor het niet rechtmatig verkrijgen van toestemming voor opslag en gebruik van persoonlijke gegevens kan bijvoorbeeld oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet. Ik kan me zomaar voorstellen dat je CFO dat risico liever niet loopt… Het zou zonde zijn als je weer helemaal opnieuw moet beginnen met het opbouwen van je database. Zeker omdat je nu nog tijd hebt om te zorgen dat de organisatie compliant wordt.

Alle afdelingen doen mee in de GDPR-dans

Iedereen die Europese persoonsgegevens vastlegt of verwerkt valt onder deze wetgeving. Ook het vastleggen van gegevens van het eigen personeel of contactpersonen bij klanten en leveranciers zijn aan de nieuwe wet onderhevig. Vrijwel iedereen gaat er dus mee te maken krijgen en wie zich niet aan de wet houdt loopt het risico op boetes.

Het is van belang dat iedereen die data verwerkt op de hoogte is van de voor hem of haar relevante stukken van de wet. Dus ook Marketing HR en verkoop. Zeker omdat dit vaak ook dé afdelingen zijn die veel mogelijke toepassingen voor data zien en daar dus graag mee experimenteren. Het is van belang dat die afdelingen weten wat ze wel en niet kunnen doen en waartoe zij als bewerker verplicht zijn. Want uiteindelijk moet je je borging op alle niveaus aan kunnen tonen, om te voldoen aan de wetgeving,

0 Reacties

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*