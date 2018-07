Door Inge Geerdens, oprichter van het online rekruteringsplatform CV Warehouse

In de geschiedenisboeken zal 2018 bekendstaan als ‘het jaar van de GDPR’. Dat kan niet anders, als je de hoeveelheid inkt ziet die er al vloeide over hoe we ons klaar moeten stomen, wat de grootste valkuilen zijn en, sinds 25 mei, wie er niet in slaagde zijn data te beschermen.

Dat er iets moest gebeuren om onze data te beschermen, was al even duidelijk. De laatste jaren is het schering en inslag: bedrijven gebruiken de data van hun klanten op een manier die allesbehalve koosjer is. De ‘niemand kan ons raken’-mentaliteit die bij sommigen heerste voor GDPR, moest er dringend uit.

Maar GDPR is geen wetgeving die enkel bedrijven viseert die al in de fout gingen. Het voelt als een preventieve straf voor elk bedrijf, groot en klein. Vooral klein. Omdat we er maar niet in slagen de bedrijven die daadwerkelijk in de fout gaan te bestraffen - vaak grote techjongens die een verdienmodel opgebouwd hebben dat draait om onze privégegevens - moet werkelijk elk bedrijf draconische maatregelen nemen om de regels te volgen.

‘Iedereen gelijk voor de wet’, hoor ik u zeggen. Natuurlijk kunnen we het niet maken dat het ene bedrijf data mag misbruiken terwijl het andere zijn best doet om gegevens zo goed mogelijk te beschermen. Maar daar wringt het schoentje. Een kmo kan het zich hoe dan ook niet veroorloven onzorgvuldig te zijn met data. Terwijl de grote jongens nog vergeven worden door hun naam of bij gebrek aan alternatief, voelen kleinere bedrijven meer druk om een naam te maken en, vooral, die te behouden door al hun data te beschermen en er zeker geen misbruik van te maken.

Van monsterboetes is nog geen sprake. Maar de tijd en het geld die nu naar GDPR gaan, zijn al een monsterboete op zich.

De verplichting voor kleine bedrijven om dezelfde strenge GDPR-regels te volgen als grote bedrijven dwingt hen tot gigantische investeringen. Een kmo heeft zelden een juridische of IT-afdeling en moet dus extern advies en hulp inwinnen. Wie het uurloon van de gemiddelde GDPR-specialist kent, weet dat je straks goedkoper af bent met een boete.

De voorbije maanden heb ik onder andere geïnvesteerd in research naar de wetgeving, aanpassingen aan contracten, oplijsten van de programma’s waar we mee werken en het opzetten van extra beveiliging.

Al het geld dat we nu spenderen aan externe adviseurs gaat niet naar meer of betere privacytools, maar naar procedures en ‘cover my ass’-documenten die iedereen elkaar door de strot wil duwen.

In tijden van cybercriminaliteit is de vraag ook niet of maar wanneer je gehackt wordt. Hoe gaat de gegevensbeschermingsautoriteit bepalen of je genoeg gedaan hebt om je data te beschermen? Als de verantwoordelijke de laatste update vergat te installeren, is het dan de fout van de werkgever of speel je de hete aardappel door naar de medewerker? Wat als de fout in de software zat en er nog geen update beschikbaar was? Wie draait op voor de boete? Leveranciers als Microsoft en Google?

Uit de hoek van de gegevensbeschermingsautoriteit horen we dat het vooral draait om sensibilisering. Van monsterboetes is nog geen sprake. Maar de tijd en het geld die nu naar GDPR gaan, zijn al een monsterboete op zich.

Ik hoor voortdurend dat onze overheden ondernemen willen aanmoedigen. Maar als je ondernemen aantrekkelijk wil maken, zal je met meer moeten komen dan belastingverminderingen en starterspremies. Zwaaien met ingewikkelde wetgeving en monsterboetes waar niemand echt van weet hoe de vork aan de steel zit, gaat mensen niet over de streep trekken.