De dag waar elk bedrijf tegen op zag was eindelijk aangebroken; gegevensbescherming ‘D-Day’ kwam en ging op vrijdag 25 mei en ondanks de GDPR-hype door in het hele land inboxen te bereiken, kwam er geen einde aan de wereld.
Nu de deadline is verstreken, laten we eens kijken naar de impact van de wijzigingen tot nu toe en overwegen wat er de komende maanden voor bedrijven zal veranderen.
Er is al een stortvloed aan gegevens vrijgegeven, wat interessante lectuur oplevert, waaronder:
Er is dus nog een weg te gaan om de wetgeving volledig ten uitvoer te leggen en te begrijpen.
Het was waarschijnlijk onvermijdelijk dat grote merken een van de eerste doelwitten van de regelgevers zouden zijn en binnen enkele uren na de deadline worden Facebook, Instagram, Google en WhatsApp de eerste merken die de krantenkoppen halen.
Europese digitale rechtengroep Noyb heeft een klacht ingediend tegen deze organisaties met het argument dat hun nieuwe servicevoorwaarden niet voldoen aan de AVG, omdat ze gebruikers niet toestonden om vrijelijk in te stemmen. Als de klacht doorgaat, kan dit leiden tot boetes van meer dan £ 3 miljard.
Zeker, artikelen in de pers over de hoogte van mogelijke boetes wekten angst bij kleine bedrijven.
Elizabeth Denham, commissaris voor informatie, heeft echter bevestigd dat kleine bedrijven die geen uitgebreid gebruik maakten van klantgegevens, niet onder de loep zouden worden genomen.
Ze wilde ook duidelijk maken dat de ICO niet op jacht is om eventuele overtredingen met betrekking tot de nieuwe regelgeving te vervolgen.
Betekent dit dat kleine bedrijven van de haak zijn? Nee, maar het verlicht wel de bezorgdheid dat zolang bedrijven stappen ondernemen om de gegevens die ze in hun bezit hebben te beschermen, de ICO welwillend tegenover hen zal staan. Het zijn organisaties die niet op de hoogte zijn van of opzettelijk geen rekening houden met gegevensbescherming die op hun hoede moeten zijn.
Het is duidelijk dat er nog een weg te gaan is voor zowel bedrijven als consumenten om de veranderingen volledig onder de knie te krijgen en er zullen de komende maanden zeker meer spraakmakende verhalen de krantenkoppen halen.
De AVG zal blijven evolueren, met een nieuwe reeks voorschriften in het verschiet in de vorm van de bijgewerkte privacy- en elektronische communicatievoorschriften (PECR), dus gegevensbescherming zal nog geruime tijd een hot topic zijn.
PECR staat naast de AVG en regelt de e-privacyregels. Er is nog geen officieel nieuws verspreid waarin wordt uitgelegd hoe PECR kan worden bijgewerkt na de AVG.
In de aanloop naar 25 mei lag de focus sterk op de verwerking van marketinggegevens, waarbij duizenden e-mails met toestemming in inboxen in het hele land terechtkwamen. Wat echter niet mag worden vergeten, is dat de AVG meer omvat dan alleen de persoonlijke gegevens die een bedrijf over zijn klanten heeft. Ook werknemersgegevens vallen binnen de regelgeving, iets wat veel bedrijven lijken te hebben gemist. Het opslaan en verzenden van salaris- en andere persoonlijke informatie over werknemers (inclusief loonstroken) moet volledig voldoen aan de wetgeving en werknemers moeten worden gecommuniceerd met en toestemming verkregen.
Bij Qtac speciaal voor dit doel is ons nieuwe online portaal ontworpen. Het stelt bedrijven in staat om hun salarisgegevens veilig te beheren en te delen tussen het bedrijf, hun salarisadministratie en werknemers. Bel voor een gratis demonstratie 0117 935 3500.
Deze blog verscheen oorspronkelijk op de ICPA-website.
