Serviceproviders: waar blijven jullie?

De strekking van de meeste berichten is: kom in actie, trek je plan, doe iets, want als je te laat bent of het gaat straks mis, dan loop je het risico op flinke boetes.

De GDPR is inderdaad geen sinecure. De 99 bepalingen in de nieuwe Europese wet geven alle betrokken partijen veel hoofdbrekens. Hoe streng zal de toezichthouder worden, wat is het risico dat je loopt en wat moet je nu echt regelen om aan de wetgeving te voldoen? Het is daarbij van belang welke rol je hebt als organisatie: je bent verwerkingsverantwoordelijke of je bent verwerker.

De verwerkingsverantwoordelijke partij, bijvoorbeeld een webwinkel of een ziekenhuis, verzamelt de persoonsgegevens en is eindverantwoordelijk voor alles wat er met die data gebeurt. En moet zorgen dat het recht op inzage, wijziging en verwijdering van data kan worden uitgeoefend door de persoon van wie de data zijn. Iedere leverancier van die webwinkel of dat ziekenhuis die iets met die data doet of kan doen, heet een ‘verwerker’. Hij verwerkt dus de persoonsgegevens in opdracht van de verantwoordelijke partij, zegt de wet. Dat verwerken is heel ruim geformuleerd. Het gaat dus ook om hosting, private of public cloud, co-locatie, en allerlei vormen van IT-beheer.

Opvallend

Als directeur van een sectororganisatie van zo’n IT-dienstverlener valt me dan één ding op. Alle adviezen en artikelen worden geschreven vanuit het perspectief van de verwerkingsverantwoordelijke. Zoek uit welke persoonsgegevens je verzamelt, doe een impactanalyse, maak een stappenplan.
En dan een interessant advies: breng je verwerkers goed in kaart. En vertel ze wat ze moeten doen, want jij bent verantwoordelijk als verwerkers jouw data niet conform de GDPR behandelen. Je leest vrijwel niets over het perspectief van die verwerker, ofwel de IT-dienstverleners.

Voor een sector waarin vrijwel iedere dienstverlener met een server een verwerker is, is dat eigenlijk een rare vorm van masochisme. Het komt erop neer dat we eerst de klant met publicaties om de oren slaan en bang maken. Zodra die door heeft wat hem kan overkomen, volgt hij netjes het advies ‘ga naar je verwerkers’. Met uiteraard het idee om zoveel mogelijk risico's op hen af te wentelen. Dat doen klanten namelijk. Vanuit hun perspectief is dat logisch, zeker als dit hen unaniem geadviseerd wordt door de eerder genoemde experts en juristen. De dienstverleners wachten als makke schapen tot de klant langskomt met een lijst van bepalingen in een lijvige verwerkingsovereenkomst. En zo geven ze de regie over de eigen diensten compleet uit handen.

Wakker

Ik zou zeggen: IT-dienstverleners, wordt wakker. De GDPR is een unieke kans voor nieuwe business. Schrijf eens een artikel met de strekking ‘Beste klant, niets aan de hand. Voor u, als verwerkingsverantwoordelijke, hebben wij van alles geregeld om het voor u makkelijk te maken. Niet alleen de veiligheid, maar ook het recht op wijzigen, verwijderen, rapporteren, melden, de portabiliteit, ondersteunen we voor u.’

Kortom, maak je klanten niet langer bang, maar stel ze gerust. Pak je rol, vanuit het perspectief van de verwerker, en draai de bedreigingen om in kansen. Want zolang we met z’n allen de verwarring over de GDPR blijven voeden en wachten tot de klant met eisen komt, gooien we onze eigen ruiten in.