Redactioneel - GDPR en Y2K: Appels en Peren

Steeds vaker wordt de gelijkenis gemaakt tussen de Y2K problematiek en de komst van de Algemene Verordening Gegevensbescherming (AVG)/General Data Protection Regulation, kortweg: GDPR. Er zijn zeker overeenkomsten, maar ook even zoveel verschillen. De vraag is vooral of het wel verstandig is om de vergelijking te maken. Het laatste wat we rondom de GDPR kunnen gebruiken, is eenzelfde soort paniek, zoals we eertijds vlak voor de eeuwwisseling hadden.

Voor degenen onder u die nog te jong zijn om te weten waar Y2K voor staat, neem ik u graag even mee terug in de tijd. Naar bijna twintig jaar geleden. Y2K hield verband met de millenniumproblematiek. Onder meer ter besparing van schaarse computergeheugenruimte zijn automatiseringssystemen decennialang zodanig ingericht geweest dat jaartallen daarin alleen met de laatste twee cijfers werden aangeduid. Dus '98 in plaats van 1998. Het millenniumprobleem kwam erop neer dat een computer het jaar 2000 als het jaar '00 zou kunnen gaan lezen, en daardoor niet zou weten of om het jaar 2000 of 1900 zou gaan, met alle mogelijke gevolgen van dien. Experts uit diverse hoeken voorspelden allerhande rampenscenario's, zoals het weigeren van de beademingsapparatuur op de intensive care, het uitvallen van het telefoonverkeer en salarissen die niet meer uitbetaald zouden kunnen worden. Het is niet zo dat geen van de voorspellingen uitgekomen is. Toch is er maar een beperkt aantal voorvallen gemeld. Zo werden bijvoorbeeld verse blikjes corned beef afgekeurd omdat de computer ervan uitging dat de blikjes 96 jaar oud waren. Mogelijk is de millenniumproblematiek vooraf te zwaar aangezet, maar het zou ook zomaar kunnen dat alle voorbereidingen die organisaties getroffen hadden om zich te wapenen tegen de millenniumbug, nut hebben gehad.

Dan nu de GDPR. Evenals de millenniumproblematiek kent de GDPR een strak tijdschema. Organisaties krijgen tot uiterlijk 25 mei 2018 de tijd om zich op de GDPR voor te bereiden. Verder zullen er op basis van de GDPR eveneens aanpassingen aan IT systemen nodig zijn om in de pas te lopen met de GDPR. Ook zie je, net als bij de millenniumproblematiek, dat een flink aantal juristen en consultants privacy ‘ontdekt’ hebben als hun nieuwe cash cow. Maar daarmee houden de gelijkenissen tussen Y2K en de GDPR wel een beetje op.

In kader van de GDPR gaat het niet alleen om het halen van een deadline. Het is vooral van belang dat organisaties zich óók daarna nog aan de privacyregels blijven houden. Het is geen kwestie van een eenmalige reparatie van een bug – of in GDPR-taal het vullen van de gaps – , maar een ongoing proces om compliant te blijven. Dat is nog maar een van de vele misverstanden rondom de GDPR. Veelvuldig worden verkeerde verwachtingen geschapen over wat organisaties moeten doen om GDPR compliant te worden, en dat ook nog eens onder de dreiging van de hoge boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet van een onderneming. Onmiskenbaar komt er meer focus te liggen op handhaving en boetes, maar dat is niet het ultieme doel. Bovendien zijn de meeste privacyregels niet eens nieuw. Veel van wat in de GDPR staat, moet nu ook al. Het is zaak om de GDPR serieus te nemen, en doordacht te werk te gaan. Het komt neer op het privacybewustzijn te bevorderen en prioriteiten te stellen.

Met de vergelijking tussen Y2K en de GDPR schiet niemand wat op. Dat is er een van appels met peren vergelijken. Sterker nog, zo een vergelijking zou zelfs wel eens meer kwaad dan goed kunnen doen, omdat de Y2K problematiek naderhand door sommigen ook wel als een much ado about nothing is geparafraseerd, terwijl dat bij de GDPR nu juist net niet handig is. Overigens bevind ik mij in goed gezelschap over deze visie. Ook Elizabeth Denham, de voorzitter van de ICO, de Engelse privacytoezichthouder, meent dat de vergelijking met Y2K mank gaat.