De GDPR gaat op 25 mei van kracht – wat staat ons te wachten?

Aan de vooravond van de invoering van de GDPR vraagt iedereen zich af wat gaat er nu precies gaat gebeuren op 25 mei. Om een eerlijk antwoord te geven: op de dag zelf niet bijster veel. Best wel een domper. De verwachte aardverschuiving blijft uit. Net als met Y2K, toen iedereen zijn adem inhield terwijl de klok aftelde naar een digitale wereldramp. Dat liep ook met een sisser af. Maar dat was echter een heel andere situatie. Toen het jaar 2000 aanbrak kwam het verhaal meteen ten einde. Dat is heel anders met GDPR, waarvan we de schokgolven nog jarenlang blijven voelen. Wat kunnen we verwachten?

1. De GDPR is het startschot voor een golf aan onwenselijke activiteiten

Vanaf 25 mei laten diverse partijen van zich horen. Hackers proberen om bedrijfsnetwerken binnen te dringen en wachten met het lekken van data totdat GDPR van kracht is gegaan, louter en alleen om bedrijven boetes en andere ellende te bezorgen. Activisten dienen verzoeken in om inzage te krijgen in de gegevens die bedrijven over hen hebben of gebruikmaken van hun recht om te worden vergeten. Dat doen ze met het uitgangspunt dat het bedrijf in kwestie veel tijd en geld kwijt is aan het inwilligen van het verzoek. Dit soort acties komen waarschijnlijk uit de hoek van consumentenorganisaties en/of activisten die tegen globalisering zijn gekant.

2. Toezichthouders vallen in de holst van de nacht in bij duizenden bedrijven 

Is het dan uitgesloten dat toezichthouders bij bedrijven op de stoep staan? Dat niet: zo viel een Britse toezichthouder het kantoor van Cambridge Analytica binnen in de nasleep van het Facebook-schandaal. De medewerkers van de toezichthouder droegen zelfs FBI-achtige uniforms. Dus gedraag je.

3. GDPR resulteert in rechtszaken die door miljoenen televisiekijkers worden gevolgd

Je raadde het al: spannende rechtszaken blijven uit. Begrijp me goed: er zal zeker sprake zijn van incidenten die een deuk slaan in het imago van bedrijven en volop activiteit in Europese rechtbanken. De rechtszaken zijn echter dodelijk saai en trager dan een vermoeide gletsjer. Echter, ze helpen wel om de definities van de GDPR aan te scherpen, dus de uitkomst van de rechtszaken is wel van invloed op het privacybeleid van bedrijven. Je kunt er donder op zeggen dat GDPR zich in de loop der jaren verder ontwikkelt. Er zijn dus zeker een paar ingrijpende wijzigingen te verwachten.

4. In 2018 worden de eerste torenhoge boetes uitgedeeld

Ook met boetes loopt het dit jaar wel los. Er treden ongetwijfeld een paar grote datalekken op waarbij toezichthouders betrokken raken. Tenzij er sprake is van grove nalatigheid op het gebied van gegevensbeveiliging of ernstig misbruik van persoonsgegevens van EU-burgers blijven hoge boetes waarschijnlijk uit. Als het om sancties gaat, hanteren toezichthouders waarschijnlijk een gefaseerde aanpak.

5. GDPR verandert de wereld (niets van overdreven)

Of is GPDR er het bewijs van dat de wereld is veranderd? Hoe het ook zij, volgens mij zal de GDPR een wereldwijde impact hebben en blijven hebben. Zo gaan er al stemmen op voor de invoering van een Amerikaanse privacywet. Helaas zullen er altijd bedrijven zijn met privacyverklaringen die bol staan van de verhullende termen en even lang zijn als Oorlog en Vrede. Toch heb ik goede hoop dat steeds meer bedrijven de geest van GDPR omarmen.

Vanaf 25 mei zal niets meer hetzelfde zijn. Europeanen herwinnen iets van hun macht op grote en machtige ondernemingen en wereldwijde IT-monopolisten. Bedrijven hebben eindelijk een reden om inzicht te verwerven in de data die ze in huis hebben en opnieuw na te denken over wat ze daarmee doen. Het werkelijke verhaal van wat er gebeurt nadat GDPR van kracht gaat wordt dus door jou en mij worden geschreven. Het is afhankelijk van de manier waarop onze organisatie op de nieuwe wetgeving reageert en hoe we als EU-burgers gebruikmaken van onze nieuwe rechten.

Door: Rens Koopman, Country Manager Benelux bij Commvault