‘Zie erop toe dat bestuurders privacy-beleid kunnen uitleggen’

Wet- en regelgeving
BKR-commissaris Kees Droppert over nieuwe bescherming data en privacy

Dankzij privacywet GDPR komt er balans tussen burgers en de bedrijven die hun data gebruiken en blijft de consument makkelijker eigenaar van zijn data. Dat is pure winst, stelt Kees Droppert, commissaris bij kredietregistratiebureau BKR, in het themamagazine over GDPR en privacy dat BDO onlangs uitgaf.

GDPR

‘Bedrijven moeten aan de bak en continu kunnen aantonen wat ze aan privacy en databeveiliging doen’, stelt Kees Droppert over de nieuwe privacywet GDPR. ‘Met de nieuwe wetgeving kan de burger afdwingen wie wanneer data mag gebruiken. Daarnaast kan hij bedrijven vragen om geschrapt te worden uit een datasysteem, als hij dat nodig vindt.’ Die sterkere positie voor de consument is winst, vindt Droppert: ‘De aggregatie van data is enorm toegenomen, en daarmee de kans op diefstal én de risico’s bij misbruik. De GDPR zorgt voor een betere bescherming van de consument.’

‘Een hele klus’

Droppert werkt als consultant en is commissaris bij kredietregistratiebureau BKR. ‘BKR helpt om fraude in kredietverstrekking te voorkomen en te zorgen dat kredietverstrekkers op verantwoorde wijze geld uitlenen aan consumenten. Door deze informatie-uitwisseling kunnen financiële dienstverleners en kredietregistratiebureaus consumenten helpen in het sturen en waar nodig verbeteren van hun kredietwaardigheid. Maar ook kredietregistratiebureaus moeten straks heel goed kunnen uitleggen wat ze hebben gedaan aan de bescherming van persoonsdata. Een hele klus.’

Aantoonbaar goed bezig

Hoe organisaties na de invoering van GDPR met data omgaan, moet voor iedereen transparant zijn, vindt Droppert: ‘Voor klanten, medewerkers, toezichthouders, de controlerende overheid, noem maar op. Want je moet naar de geest én de letter van de wet aantoonbaar goed bezig zijn met dit onderwerp. Dus uitleggen wat je met data van klanten of medewerkers hebt gedaan en waarom. En je moet kunnen laten zien met welke privacy-issues je nog bezig bent; ook wat je nog niet hebt geregeld. Of je dan uiteindelijk 100% safe zit? Nee, dat is in praktijk vrijwel onhaalbaar. Een datalek blijft altijd mogelijk, wat je ook doet.’

Privacy by design

Een van de principes bij het werken volgens GDPR is ‘privacy by design’. Daarbij houd je direct bij het ontwerp van een informatiesysteem al rekening met privacy-aspecten. Dat dwingt je om na te denken over de noodzaak van het opslaan van gegevens: wat is echt nodig, wat niet? Daarnaast kun je dan al inbouwen hoe je later persoonsgegevens weer makkelijk kunt verwijderen. Een praktisch probleem is dat organisaties zelden from scratch een IT-systeem ontwerpen maar meestal voortborduren op bestaande IT-systemen, zegt Droppert: ‘Die zijn totaal niet ingericht op de eisen van GDPR en het is lastig en duur om die aan te passen. Waarborg in ieder geval dat je niet méér persoonsgegevens verwerkt dan strikt noodzakelijk.’

Boetes helpen

Organisaties die niet voldoen aan GDPR, kunnen fikse boetes krijgen. Gaan die helpen? Droppert: ‘Ik denk het wel. Organisaties moeten zich goed realiseren dat het hier niet gaat om een richtlijn, maar om een wet. Die moet en zal gehandhaafd worden.’ Daar ligt ook een taak voor de commissarissen, stelt Droppert: ‘Die moeten er goed op toezien dat de bestuurders altijd kunnen uitleggen wat ze aan bescherming van data en privacy hebben gedaan.’

Kees Droppert (58) studeerde bestuurskunde in Leiden. Daarna had hij diverse directiefuncties bij onder meer Transavia, Aegon en Crédit Agricole. Nu werkt hij als consultant en is commissaris bij kredietregistratiebureau BKR.

Themamagazine ontvangen?

In het themamagazine over GDPR biedt BDO interessante interviews met C-level bestuurders van grote organisaties, waaronder DHL en Simac. Zij geven hun visie op GDPR en vertellen hoe de implementatie binnen hun organisatie is geregeld. Ook komen specialisten uit het multidisciplinaire privacy-team van BDO aan het woord. Zij delen best practices en inzichten vanuit hun vakgebied, waaronder Legal, RAS en IT Audit. Wilt u dit themamagazine van BDO over GDPR graag ontvangen? Stuur dan een e-mail naar corporateclients@bdo.nl

Meer informatie

Wilt u meer informatie over GDPR? Neem dan contact op met Sandra Konings, partner Advisory bij BDO via 030-284 99 60 of stuur een e-mail naar sandra.konings@bdo.nl Ook vindt u meer informatie op www.bdo.nl/gdpr