GDPR/AVG: waarom reputatieschade minstens zoveel kopzorgen moet geven als een boete

Laatste update 04 juli 2022

Vandaag is het Data Protection Day, ofwel de Internationale Dag van de Privacy. Met het in werking treden van de GDPR/AVG 25 mei dit jaar, is deze dag zo mogelijk nog belangrijker om aandacht te vragen voor privacy.

Niet alleen bij consumenten die alert moeten zijn, maar ook bij organisaties die serieuze risico’s lopen bij het niet voldoen aan de nieuwe wetgeving. En dan heb ik het niet over de aanzienlijke boetes die kunnen worden uitgedeeld als gevolg bij het niet compliant zijn.

Privacy is niet zomaar iets: het is een grondrecht. In de Universele Verklaring van de Rechten van de Mens is privacy geborgd als mensenrecht. Met de komst van de GDPR/AVG wetgeving worden de rechten van de betrokkenen verder uitgebreid, met onder andere het recht om vergeten te worden en het recht op overdraagbaarheid van gegevens.

Als een organisatie straks niet voldoet aan de vereisten van de GDPR/AVG, kan het een nogal publieke aangelegenheid worden. Niet alleen bestaande klanten komen te weten dat er een overtreding is begaan, maar ook de toekomstige klanten. Daarom zouden niet alleen de boetes die kunnen worden opgelegd bij overtreding een belangrijke kopzorg moeten zijn. Het potentiële risico voor reputatieschade zou evenzo hoog op de agenda moeten staan.

De waarde van vertrouwen

Vertrouwen is de merkvaluta van de digitale economie en een belangrijke pijler van een reputatie. Zonder vertrouwen zijn klanten slechts één klik verwijderd van overstappen naar een concurrent. Een overtreding van de GDPR/AVG heeft de potentie om jarenlange merkentrouw en vertrouwen van klanten te schaden. Een zorgvuldig opgebouwde reputatie kan daarmee grotendeels om zeep geholpen worden.
Als je de belangrijkste elementen van de GDPR/AVG bekijkt, zie je dat deze twee belangrijke vragen oproepen op het gebied van vertrouwen:

– Kunnen EU-inwoners u vertrouwen met hun gegevens?
– Gebruikt u een systeem voor het beheren van data (en persoonsgegevens in het bijzonder) om dat vertrouwen mogelijk te maken?

Laten we eens kijken naar een paar componenten van de GDPR/AVG zoals ze in de verordening worden beschreven vanuit de optiek van data management, datakwaliteit en data governance.

Persoonsgegevens

Persoonsgegevens zijn alle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Persoonsgegevens moeten juist zijn en, waar nodig, moet de kwaliteit kunnen worden verbeterd: Beschikt de organisatie over juiste processen en tools om datakwaliteit op continue basis te garanderen?
Persoonsgegevens moeten zorgvuldig worden verwerkt door gebruik te maken van de juiste technische en organisatorische maatregelen: Zijn er alleen geautoriseerde werknemers in het bedrijf die toegang hebben tot bepaalde gegevens?

Rechtmatigheid van de verwerking (Art. 6)

De verwerking van persoonsgegevens is alleen rechtmatig indien er ten minste een van de onderstaande voorwaarden is voldaan: ondubbelzinnige toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang, gerechtvaardigd belang. Is de grondslag van alle verwerkingen vastgelegd, en wordt deze ook nageleefd en gecontroleerd?

Voorwaarden voor toestemming (Art. 7)

In het geval van ondubbelzinnige toestemming moet er worden aangetoond dat de betrokkene heeft ingestemd met de verwerking van zijn of haar persoonlijke gegevens: Is deze toestemming geregistreerd en is duidelijk gemaakt aan de betrokkene voor welke doeleinden de persoonlijke data wordt gebruikt? Hoe wordt dit in de verschillende systemen geborgd?

Recht om vergeten te worden (Art. 17)

Betrokkenen (bijvoorbeeld een consument) kunnen eisen dat organisaties onverwijld gegevens wissen die hem of haar betreffen: Is er een geïntegreerd beeld van de gegevens van de klant en kan ervoor worden gezorgd dat indien gewenst alle gegevens worden gewist?

Recht op overdraagbaarheid van gegevens (Art. 20)

De betrokkene (bijvoorbeeld een klant) heeft het recht gegevens door te laten sturen naar een andere partij. Staan alle gegevens van de klant op één plek en zijn er processen ingericht die het overdragen van deze data naadloos maken?

Het positief kunnen beantwoorden van bovenstaande vragen, draagt niet alleen bij aan het voldoen aan de GDPR/AVG, maar ook aan het bevorderen van het vertrouwen van klanten en het uiteindelijk versterken van de reputatie van de organisatie. Daarmee is de GDPR/AVG voor uw reputatie niet alleen een risico, maar misschien nog wel een grotere kans.