Onbekendheid met GDPR leidt tot overtredingen

- Jeroen Langendam

Bedrijven zijn onvoldoende vertrouwt met de privacywetgeving (GDPR). Datalekken worden bijvoorbeeld onterecht niet gemeld bij de autoriteiten.

De General Data Protection Regulation (GDPR) is een Europese verordening die organisaties sinds 25 mei 2018 verplicht zijn te volgen. Een van de voorschriften van GDPR is dat een bedrijf binnen 72 uur nadat een datalek ontdekt is dit moet melden bij de autoriteiten. Ook zijn bedrijven verplicht om betrokkenen te informeren dat hun data mogelijk op straat ligt.

Onderzoek van McDermott Will & Emery, een internationaal advocatenkantoor, laat zien dat ruim de helft van alle ondervraagde bedrijven (wereldwijd) een datalek heeft ervaren sinds de GDPR van kracht is geworden.

Toch melden bedrijven het grootste deel van de datalekken niet. Dit zou komen doordat bedrijven onvoldoende bekend zijn met de regelgeving. Amerikaanse bedrijven blijken slechts in 39% geprobeerd te hebben datalekken te melden. Europese organisaties doen het iets beter, maar ook daar blijft de teller steken op 45%.

Speciale GDPR-functionaris verplicht

Dat organisaties de regels niet kennen roept verbazing op, want een ander voorschrift uit de GDPR is dat bedrijven verplicht zijn een GDPR-functionaris aan te stellen. Deze onafhankelijke functionaris heeft slechts één verantwoordelijkheid: zorgen dat de regels rondom privacy worden nageleefd.

Ook in het onderwijs wordt geworsteld met de regelgeving rondom privacy. Zo besloot een Nederlandse school geen enkel risico te nemen en alle gezichten op de klassenfoto zwart te maken. Een andere school, uit Zweden, ging juist iets te ver. Hun experiment op de aanwezigheidscontrole uit te voeren via gezichtsherkenningstechnologie leverde hen een boete op van € 19.000.

Extra uitdaging is dat scholen werken met veel persoonlijke informatie, die wel altijd en overal toegankelijk moet maken. De voortschrijdende digitalisering van het onderwijs maakt het veilig opslaan van data steeds belangrijker. Bedrijven springen daarop in, maar in hoeverre het inschakelen van cybersecurity bedrijven scholen ontslaat van hun zorg- en meldplicht is nog te  bezien. Vooralsnog blijft de GDPR organisaties in het onderwijs de nodige hoofdbrekens opleveren.