Marc Schijvaerts
GDPR geeft bedrijven nog te veel onnodige angst en kosten
Bij veel bedrijven heerst nog steeds een angst om onvoldoende conform de GDPR te zijn, de Algemene verordening gegevensbescherming die vandaag exact drie jaar van toepassing is. Daarom worden bij softwareontwikkelingstrajecten vaak te complexe en veel te dure oplossingen ontwikkeld om aan de regelgeving te voldoen. Onnodig, vindt Marc Schijvaerts van PeopleWare. Hij pleit voor een kostenefficiënte aanpak.
25 mei 2018 was de deadline voor bedrijven en organisaties om hun werking GDPR-conform te maken. Drie jaar later heerst bij velen van hen nog steeds een angst om niet aan die regels te voldoen. Het noopt hen vaak tot een overdadige aanpak, ook op vlak van software-automatisatie. De kostprijs om databeheer op een GDPR-conforme manier te automatiseren kan oplopen tot bijna twintig procent van het totale bedrag van softwareontwikkeling, terwijl dat zelden opweegt tegenover het effectieve gebruik ervan. Bovendien zijn het vooral B2C- en niet B2B-bedrijven die met vragen over gegevensbeleid geconfronteerd worden.
Amper vragen
Met ‘gebruik’ doel ik op het aantal keer dat bedrijven de vraag krijgen van natuurlijke personen om gegevens te verstrekken, over te dragen of vergeten te worden. Uit een onderzoek dat Unizo begin dit jaar publiceerde, blijkt immers dat maar liefst negentig procent van de bevraagde ondernemers quasi nooit een vraag of klacht krijgt over het gegevensbeleid. Aangezien bedrijven zo weinig vragen over gegevensbeleid krijgen, is het volgens mij nuttiger om deze occasionele vragen manueel te beantwoorden.
De kostprijs van complexe GDPR-automatiseringen weegt niet op tegen de effectieve vraag ernaar.
Ik merk dat bedrijven – terecht – zeer ernstig omspringen met gegevens van natuurlijke personen. Bovendien is de GDPR absoluut nodig om op te treden tegen malafide bedrijven die onwettig gegevens verzamelen en verkopen. Alleen heeft dat verregaande gevolgen voor bedrijven die diensten leveren waar nu eenmaal bepaalde persoonsgebonden gegevens voor nodig zijn. Bedrijven weten niet altijd even goed waar de grens ligt voor de gegevens die ze moeten aandienen wanneer een natuurlijke persoon erom vraagt. Er wordt daarom nog te veel in software geïnvesteerd om automatisch op alle mogelijke GDPR-vragen te antwoorden en dat liefst nog met een mooi opgemaakte pdf. Een enorme meerkost, terwijl een screenshot van de gegevens voor de meeste aanvragers zou volstaan.
Geen sneeuwbaleffect
Bedrijven die software laten ontwikkelen, riskeren zo een sneeuwbaleffect te creëren. Een voorbeeld is het recht om vergeten te worden. Dit recht kan niet altijd onmiddellijk uitgevoerd worden vanwege de wettelijk verplichting om bepaalde gegevens zeven jaar bij te houden. Dan zou je de software zo intelligent moeten maken om de aanvragen te parkeren tot de zeven jaar voorbij zijn. Bij het verstrijken van die periode schiet de software in gang en verwijdert of anonimiseert het de bewuste persoonsgebonden data.
Het is daarom noodzakelijk om een goede kosten-batenanalyse te maken voor elke klant. Op die manier worden er geen nodeloze en buitensporige investeringen gedaan in een automatische afhandeling van potentiële GDPR-vragen, terwijl een manuele opvolging voor het beperkte aantal vragen over gegevensbeleid zou volstaan.
Fout opgemerkt of meer nieuws? Meld het hier