Eerste verjaardag invoering van de GDPR
Het is exact een jaar geleden dat de Algemene Verordening Gegevensbescherming van kracht werd en dus tijd om een voorlopige balans op te maken.
Om het in Piet Huysentruyt stijl te verwoorden “Wat hebben we vandaag geleerd?”
1. DPO’s als paddenstoelen uit de grond
Volgens onderzoek van IAPP hebben naar schatting ruim 500.000 organisaties in heel Europa verzocht om hun Data Protection Officer te laten registreren. De AVG, die sinds mei 2018 van kracht is, vereist namelijk dat overheidsinstanties en bedrijven die personen controleren of op grote schaal speciale categorieën van hun gegevens verwerken, een DPO te registreren die beschikt over “deskundige kennis van wetgeving en praktijken inzake gegevensbescherming”.
Alleen al in twaalf EU-lidstaten werden ten minste 376.306 DPO-registraties naar de Data Protection Authorities gestuurd. Aangezien organisaties externe DPO’s mogen gebruiken, die op hun beurt meerdere organisaties kunnen bedienen, is het aantal DPO’s lager dan het totale aantal organisaties. Tegelijkertijd werkt de DPO in veel organisaties niet alleen, maar eerder als lid van een team van privacy professionals.
2. Help mijn Data is lek
Zowel bedrijven als regelgevers hebben hard gewerkt om zich voor te bereiden en vervolgens de GDPR-vereisten te implementeren. Beide zagen een toename in personeel en middelen, maar die verbleekte in vergelijking met de toestroom van klachten, meldingen van datalekken, boetes en registraties van gegevensbeschermingsbeambten. Zo kunnen we aan de hand van de cijfers van De internationale vereniging van privacy professionals (IAPP) vaststellen dat er meer dan 64.000 meldingen van datalekken zijn geregistreerd en dat ruim 94.000 klachten zijn ingediend om de rechten van betrokkenen te kunnen vrijwaren.
3. Belgische GBA komt uit de startblokken
Er zijn nog zeer veel kleine en middelgrote bedrijven die nog altijd niet in orde zijn met de nieuwe Privacy wetgeving en dus niet zijn voorbereid op eventuele datalekken en vragen van individuele betrokkenen die hun recht willen uitoefenen door te vragen over welke gegevens men beschikt en of hun informatie kan verwijderd worden uit de bestanden. Ook zijn er nog altijd onduidelijkheden over wat het bedrijf of organisatie nu juist met de persoons herleidbare informatie doet en hoe deze data zal worden beschermd tegen ongeoorloofde toegang.
Kortom er is nog behoorlijk wat werk aan de winkel en eigenlijk zijn we als lidstaat van Europa nog maar net uit de startblokken aan het komen. Ook onze eigen Gegevens Berschermings Autoriteit (GBA) is sinds kort voltallig qua directie en zal dus een serieuze inhaalbeweging moeten gaan maken. Als u zelf als bedrijf of als particulier met vragen zit over de spelregels en gevolgen van de nieuwe Privacy wetgeving kan u op hun website terecht of u kan het gratis Grote GDPR handboek downloaden op onze site.
We wensen jullie alvast veel succes met het (voor)bereiden van een hopelijk geslaagde GDPR gerecht(je)