In 2018 trad de GDPR in werking. Vooraf was er veel reuring, maar tegenwoordig hoor je er nog weinig over. Is dat omdat bedrijven het allemaal zo goed voor elkaar hebben? Spoiler-alert: nee.
Noem het beroepsdeformatie, maar ik schep er veel genoegen in om bedrijven, die mij ongevraagd benaderen, te vragen hoe ze aan mijn gegevens komen en of ze die gegevens willen verwijderen. De reacties daarop zeggen volgens mij veel over hoe we er GDPR-technisch voorstaan.
Zo vroeg ik laatst aan een verzender van een marketingmail, nota bene over GDPR-dienstverlening, hoe die aan mijn gegevens kwam. De verzender deed — na drie herhaalverzoeken — zijn best om dat te achterhalen, en nam vervolgens allerlei collega’s van buiten de EU mee in de cc. Zo werden mijn persoonsgegevens dus nog verder verspreid.
Een andere verzender van een typische bulkspam-mail bood na mijn reactie meteen aan om mijn gegevens te verwijderen, maar wilde daartoe eerst verifiëren wie ik was. Ik moest een uitgebreid formulier invullen en een kopie van mijn paspoort aanleveren. Waarom zou ik aan een onbekende partij, die mij niet als klant heeft en die alleen een e-mailadres van mij heeft, extra persoonsgegevens moeten aanleveren om te verifiëren of ik het wel echt ben? Op vragen daarover kreeg ik geen reactie meer.
Een derde partij bleef mij ongevraagd bellen. Toen ik vroeg hoe ze aan mijn gegevens kwamen, verwezen ze naar een andere partij. Maar daar bleken ze niet meer mee samen te werken. Een verdere reactie bleef uit en dus diende ik een klacht in bij de Autoriteit Persoonsgegevens.
Geen DPO
Ik zie ook dat veel websites denken met alleen een cookiemelding hun GDPR-compliance op orde te hebben. Bij veel websites heb je bijvoorbeeld alleen de mogelijkheid om akkoord te gaan met het plaatsen van cookies, anders krijg je helemaal niets te zien. Maar volgens de GDPR moet toestemming geven een vrije keuze zijn; als toestemming vereist is om de dienst te kunnen gebruiken is de vrije keuze twijfelachtig. Bij andere sites staan allerlei opties al aangevinkt, en ook dat mag niet van de GDPR. En nog lang niet alle bedrijven hebben een DPO, een volgens de GDPR verplichte Data Protection Officer.
Wijzelf krijgen van ongeveer de helft van onze nieuwe klanten het verzoek een verwerkingsovereenkomst op te stellen. Chapeau voor hen, maar er is dus ook nog een helft die uit zichzelf geen gevolg geeft aan deze GDPR-regel.
Positieve Effecten
Met het verdwijnen van de media-aandacht voor de GDPR lijkt dus ook de bedrijfsinterne interesse ervoor te zijn verdwenen. Zijn er dan helemaal geen positieve effecten? Wel hoor. Sommige partijen geven nauwkeurig inzicht in wat zij delen met welke bedrijven. Ze gebruiken daarbij bijvoorbeeld tooling als Quantcast. (Schrik niet: sommige sites delen gegevens met duizenden bedrijven).
De Autoriteit Persoonsgegevens (AP) heeft al verschillende GDPR/AVG boetes uitgedeeld. Onlangs nog aan Theodoor Gilissen Bankiers voor het niet voldoen aan het recht tot inzage en aan de Nationale Politie omdat die niet snel genoeg security maatregelen had genomen. En consumenten komen — net als ik — steeds vaker in actie als ze ongevraagd worden benaderd.
GDPR-vuur
Bedrijven lijken afwachtend: waarschijnlijk zullen ze pas in actie komen als de AP bij hen of een naaste concurrent aanbelt. Maar dan ben je dus rijkelijk laat. Je imago loopt een flinke deuk op en de bedragen die je als gevolg van je overtreding moet overmaken zijn niet mis.
Is bij jullie het GDPR-vuur van anderhalf jaar geleden ook langzaam gedoofd? Wakker het weer aan. Voldoen aan de GDPR is helemaal niet zo complex als je misschien denkt. Helemaal niet als je daarbij hulp inschakelt van externe experts.
