De GDPR is niet zo erg als men beweert

De voorbije maanden kreeg de GDPR (General Data Protection rule) bakken kritiek over zich heen: “te veel, niet haalbaar en volledig nutteloos wegens te plaatselijk. Bovendien is privacy toch helemaal dood.” Ik ben het hier niet mee eens, en wel om de volgende redenen.

Eerst en vooral: privacy is helemaal niet dood. Als je al jaren in een IoT-omgeving hebt gewerkt, kan je dat misschien wel denken (of hopen). Maar in de praktijk merk ik dat hoe meer onze gegevens worden gebruikt voor eender welk doel, hoe meer mensen zich bewust worden van de waarde van hun eigen persoonlijke data, en van de waarde van hun privacy. Daarom is de GDPR net relevanter dan ooit, wat mij betreft.

De regels en bepalingen binnen de GDPR liggen ook zwaar onder vuur: volgens sommigen zijn ze onhaalbaar en geschreven door advocaten die geen regel code zouden herkennen als ze voor hun neus lag. Dit klopt absoluut niet: de GDPR werd uitgebreid besproken en opgesteld door een groep experts met uiteenlopende expertises, inclusief IT-specialisten. Wat wel klopt: de verantwoordelijkheid wordt doorgeschoven naar de IT-teams: “Dit is wat je moet bereiken. Het kan ons niet schelen hoe. Zorg dat het in orde komt.”

Toegegeven: de omstandigheden zitten niet mee. Het internet dat de voorbije decennia is uitgebouwd, is wel erg veerkrachtig maar helaas verre van veilig. Om een beveiligd en privacy-vriendelijk internet te bereiken zouden we het van de grond af opnieuw moeten bouwen, maar dat is uiteraard geen optie. Dus zitten we opgescheept met het internet zoals het nu is, dat we zo goed en zo kwaad mogelijk moeten beveiligen met alle nodige patches. In die context kan de GDPR gerust een ‘reuzenpatch’ genoemd worden.

Anderzijds is de GDPR lang niet zo rampzalig als sommige IT-leveranciers ons willen laten geloven. Sterker nog: het merendeel van wat de GDPR voorschrijft had u eigenlijk allang geïmplementeerd moeten hebben om te voldoen aan de verwachtingen van uw klanten. Wie de verwachtingen en vereisten van de klanten al die tijd heeft genegeerd, is die klanten intussen hoogstwaarschijnlijk al kwijt omdat ze zulke leveranciers niet betrouwbaar genoeg vinden.

Uiteindelijk komt het gewoon neer op een andere denkwijze wanneer u met data aan de slag gaat. U kan nog altijd klantengegevens verzamelen en ze gebruiken voor analyse, zolang u de data voldoende anonimiseert voor u ze begint te gebruiken voor uw analyses.

Last but not least: heeft het enig nut dat Europa een eigen set privacy-regels oplegt, terwijl de rest van de wereld zo overduidelijk minder geeft om privacy en gegevensbescherming? Net daarom, zou ik antwoorden. Europese burgers waarderen het feit dat er toch nog één veilige haven is waar onze data met voldoende zorg en respect worden behandeld. Dit zou in de toekomst trouwens best wel eens een extra commercieel argument voor Europese cloud- en andere leveranciers kunnen worden.

Samengevat: de GDPR is niet onhaalbaar, niet nutteloos, en niet achterhaald voor het in België is omgezet in concrete afdwingbare wetten. Bescherming van onze data is een nobel doel dat al onze aandacht verdient, met of zonder GDPR.

Rudolf De Schipper is Senior project Manager bij Unisys

Bent u bang van de grote boze databeschermingswet? Data News stelde een FAQ samen over GDPR.