TOEZICHT OP GDPR.

‘GDPR

is geen richtlijn, het is een wet!’

Kees Droppert

Dankzij GDPR blijft de consument makkelijker eigenaar van zijn data. Dat is pure winst, stelt commissaris Kees Droppert. ‘Bedrijven moeten aan de bak en continu kunnen aantonen wat ze aan privacy en databeveiliging doen.’

Dankzij de GDPR komt er balans tussen burgers en de bedrijven die hun data gebruiken. Dat is de overtuiging van Kees Droppert: ‘Met deze nieuwe wetgeving kan de burger gemakkelijker eigenaar blijven van zijn data en afdwingen wie wanneer die data mag gebruiken. Daarnaast kan hij bedrijven vragen om geschrapt te worden uit een datasysteem, als hij dat nodig vindt.’

Die sterkere positie voor de consument is winst, vindt Droppert: ‘De aggregatie van data is enorm toegenomen, en daarmee de kans op diefstal én de risico’s bij misbruik. De GDPR zorgt voor een betere bescherming van de consument.’

Droppert werkt als consultant en is commissaris bij kredietregistratiebureau BKR. ‘BKR helpt om fraude in kredietverstrekking te voorkomen en te zorgen dat kredietverstrekkers op verantwoorde wijze geld uitlenen aan consumenten. Door deze informatie-uitwisseling kunnen financiële dienstverleners en kredietregistratiebureaus consumenten helpen in het sturen en waar nodig verbeteren van hun kredietwaardigheid. Maar ook kredietregistratiebureaus moeten straks heel goed kunnen uitleggen wat ze hebben gedaan aan de bescherming van persoonsdata. Een hele klus.’


Aantoonbaar goed bezig

Hoe organisaties na de invoering van GDPR met data omgaan, moet voor iedereen transparant zijn, vindt Droppert: ‘Voor klanten, medewerkers, toezichthouders, de controlerende overheid, noem maar op. Want je moet naar de geest én de letter van de wet aantoonbaar goed bezig zijn met dit onderwerp. Dus uitleggen wat je met data van klanten of medewerkers hebt gedaan en waarom. En je moet kunnen laten zien met welke privacy-issues je nog bezig bent; ook wat je nog niet hebt geregeld. Of je dan uiteindelijk 100% safe zit? Nee, dat is in praktijk vrijwel onhaalbaar. Een datalek blijft altijd mogelijk, wat je ook doet.’

Kees Droppert

Kees Droppert (58) studeerde bestuurskunde in Leiden. Daarna had hij diverse directiefuncties bij onder meer Transavis, Aegon en Crédit Agricole. Nu werkt hij als consultant en is commissaris bij kredietregistratiebureau BKR.

Privacy by design

Een van de principes bij het werken volgens GDPR is ‘privacy by design’. Daarbij houd je direct bij het ontwerp van een informatiesysteem al rekening met privacy-aspecten. Dat dwingt je om na te denken over de noodzaak van het opslaan van gegevens: wat is echt nodig, wat niet? Daarnaast kun je dan al inbouwen hoe je later persoonsgegevens weer makkelijk kunt verwijderen. Praktisch probleem is dat organisaties zelden from scratch een IT-systeem ontwerpen maar meestal voortborduren op bestaande IT-systemen, zegt Droppert: ‘Die zijn totaal niet ingericht op de eisen van GDPR en het is lastig en duur om die aan te passen. Waarborg in ieder geval dat je niet méér persoonsgegevens verwerkt dan strikt noodzakelijk.


Boetes helpen

Organisaties die niet voldoen aan GDPR, kunnen fikse boetes krijgen. Gaan die helpen? Droppert: ‘Ik denk het wel. Organisaties moeten zich goed realiseren dat het hier niet gaat om een richtlijn, maar om een wet. Die moet en zal gehandhaafd worden.’ Daar ligt ook een taak voor de commissarissen, stelt Droppert: ‘Die moeten er goed op toezien dat de bestuurders altijd kunnen uitleggen wat ze aan bescherming van data en privacy hebben gedaan.’