De impact van de verplichtingen die zijn opgenomen in de GDPR/AVG op de processen en IT bij veel organisaties was gigantisch. De in de verordening opgenomen boetes leiden tot veel aandacht in de bestuurskamers en IT-afdelingen van vrijwel alle organisaties. Het was een belangrijke stap om juridische, zakelijke en digitale technologie kennis bij elkaar te brengen. De bedoeling was om het omgaan met persoonsgegevens aan banden te leggen en veiliger te maken. Daartoe werden verplichtingen opgelegd, voornamelijk aan de organisatie die het doel bepaalt van de verzameling en verwerking van die gegevens. Veelal zijn dit de zakelijke gebruikers van digitale technologie.
In opdracht van de Nederlandse overheid werden vanaf 2018 enkele Data Protection Impact Assessments uitgevoerd, waarin werd onderzocht in hoeverre de (ingekochte) technologie nu eigenlijk voldeed aan de GDPR en de zakelijke gebruiker van die technologie in staat stelt aan de GDPR te voldoen. De uitkomsten van die DPIAs, en de daaropvolgende gesprekken met leveranciers, legden de scheve balans bloot tussen de verplichtingen die zakelijke gebruikers hebben om op een veilige manier met persoonsgegevens om te gaan, en hun mogelijkheden om daarvoor zorg te dragen. Toen er namelijk werd ontdekt dat de technologie ‘onder de motorkap’ verwerkingen uitvoerde die niet zijn toegestaan, of als er voorwaarden worden gesteld in de contracten die niet in overeenkomst zijn met de GDPR, dan kunnen zakelijke gebruikers er in veel gevallen niet veel aan doen, maar ze dragen wel de verantwoordelijkheid. Immers, de technologie die je inkoopt kun je maar tot op zekere hoogte testen, je kunt die in ieder geval niet aanpassen vanwege auteursrechten die bij de leverancier berusten en het aanpassen van technologie en/of contracten wil de leverancier vaak niet. Je hebt als zakelijke gebruiker dan eigenlijk weinig middelen om toch naleving van de wet te verzekeren.
Dit inzicht heeft ertoe geleid dat sinds de DPIA’s zakelijke gebruikers nadrukkelijker deelnemen aan het maatschappelijk debat en de totstandkoming van nieuwe wet- en regelgeving. Welke verplichtingen dan ook maatschappelijk of politiek wenselijk zijn, het is in ieder geval van belang dat de verplichtingen niet worden belegd bij een partij die weinig of geen mogelijkheid heeft om naleving daarvan te beïnvloeden.
Deze highlight is aangeleverd door: CIO Platform Nederland