Tja, het is me wat. Bedrijven moeten klaar zijn, maar zijn dat zeer zeker niet – of toch zeker niet allemaal. En de overheid? Nee, ook die is niet klaar. En kan iemand dat vriendelijk maar met klem duidelijk maken aan staatssecretaris Philippe De Backer? Politici behoren niet vast te steken in een eigen waan. Dank u.

Zijn de vele verenigingen, organisaties en kleine(re) bedrijven klaar? Zeker niet. Net zoals overigens de meeste hoeders van persoonsgegevens niet klaar zijn! En zelfs vandaag zijn er ongetwijfeld nog meer organisaties dan ons lief zijn, die zeggen van ‘GDPR? Wablief?’ Kortom, over de hele lijn genomen moet haast iedereen toegeven dat zijn of haar organisatie niet (of nog net niet) klaar is.

Zucht… Wat maakt die 25 mei 2018 dan eigenlijk uit? Is het niet meer dan gewoon een loze streep in het zand? Ja en nee, om een typisch Belgisch antwoord te geven.

Nee, want

Op 25 mei loopt de periode van twee jaar af die door de GDPR werd voorzien om bedrijven en organisaties in staat te stellen de naleving ervan op punt te stellen. De wet zelf is immers sinds mei 2016 al van kracht. Met andere woorden, per 25 mei is ‘GDPR here, and it’s here to stay’.

De naleving ervan is voortaan een wettelijke plicht, met alle mogelijke gevolgen, inclusief boetes, reputatieschade, enz. Denken dat de GDPR u niet aanbelangt, of dat u uw eigen inspanningen op de lange baan kunt schuiven, is er nu helemaal niet meer bij. Niets – of te weinig – doen is geen optie meer. Dat is de snelste wijze om echt in de problemen te komen.

Vanaf 25 mei kan de hamer der wet onverbiddelijk neerkomen op bedrijven en organisaties die niet conform de wet zijn, ongeacht duidelijke hints dat de toezichtautoriteit niet meteen repressief gaat optreden.

Wie niet klaar is, kan maar beter aan GDPR-conformiteit werken op een ernstige en goed gedocumenteerde wijze, met een duidelijke roadmap voor de komende tijd.

Vanaf 25 mei is de gratieperiode officieel afgelopen. Vanaf dan kan het spel hard worden gespeeld. Wie de GDPR niet of onvoldoende serieus neemt, is gewaarschuwd.

 

Voor de GDPR is 25 mei slechts het begin van een nooit eindigende inspanning om de nieuwe privacywet te blijven naleven.

Ja, want

Is 25 mei niets meer dan een streep in het zand? De facto wel. Al is het maar omdat zelfs het wettelijk kader nog niet helemaal op punt staat. Kortom, het is zo goed als onmogelijk om onomstotelijk ‘klaar’ te zijn voor de GDPR.

Belangrijker is dat 25 mei geen einddatum is, zoals bij het jaar 2000-probleem. Dat had een harde datum, namelijk 1 januari 2000, en eens die dag achter de rug, hoefde u er zich geen zorgen meer over te maken.

Voor de GDPR is 25 mei slechts het begin van een nooit eindigende inspanning om de nieuwe privacywet te blijven naleven. Het is het begin van een never-ending story, waarvan de verhaallijn kan en zal veranderen doorheen de tijd.

Denk bijvoorbeeld aan de ontwikkeling van nieuwe technologieën en de wijze waarop bedrijven daarmee aan de slag gaan en dus hun GDPR-naleving moeten herzien. Denk aan nieuwe maatschappelijke en politieke inzichten en regels, onder meer om (allicht) gerechtvaardigde klachten en eisen vanwege het bedrijfsleven te ondervangen. ‘Het moet werkbaar blijven’, zal worden verzucht, en ‘de wet mag de informatie-economie niet wurgen’ …

Het staat als een paal boven water dat de GDPR uiteindelijk zal worden herzien, na toetsing (of botsing?) met de politieke en economische realiteit binnen en buiten Europa. Om nog maar te zwijgen over nakende wetgevingen zoals de ePrivacy verordening rond elektronische communicaties, en het NIS directief inzake kritieke infrastructuur.

Dus klaar voor en met de GDPR? Natuurlijk niet! Nooit! Beter kunt u nu proberen inschatten waar u staat met de naleving van de GDPR, en uw plannen voor de komende tijd beoordelen. Waarna we op 25 mei 2019 deze oefening nog eens overdoen. En opnieuw. En opnieuw. En …

Welkom in een nieuw tijdperk. Waar privacy – eindelijk / opnieuw / alsnog – ernstig wordt genomen.

 

Foto: John Forson via Unsplash