Alles wat u altijd al wilde weten over GDPR, maar nooit durfde te vragen

Pieterjan Van Leemputten

De General Data Protection Regulation wordt geen big bang, maar het is wel het moment om uw datazaken op orde te stellen. Wat moet u zeker doen? Wat mag u niet vergeten en zal het uw bedrijf iets kosten? Data News neemt poolshoogte bij experten.

Voor die twee lezers die nu nog uit de lucht vallen, een korte samenvatting: op 25 mei 2018 gaat de General Data Protection Regulation ofwel GDPR van kracht. Deze Europese wetgeving bepaalt hoe bedrijven, overheden en organisaties moeten omgaan met persoonsgegevens, met een stevige focus op privacy en veiligheid. Consumenten kunnen bijvoorbeeld bedrijven vragen waarom hun data wordt bijgehouden en verwerkt. Bedrijven mogen van hun kant niet zomaar eender wat bewaren en verwerken, laat staan doorspelen aan partners.

Maar het blijft niet beperkt tot het verwerken van data. U wordt ook geacht veilig en verantwoord om te gaan met die gegevens. Als morgen uw database wordt gehackt, dan moet u dat, afhankelijk van welke gegevens worden gestolen, binnen de 72 uur melden aan de Gegevensbeschermingsautoriteit (vandaag nog bekend als de Privacycommissie) en mogelijk aan de leden of klanten wiens gegevens gelekt zijn. Op gehackt worden staat geen boete, tenzij blijkt dat u te weinig heeft gedaan om de gegevens te beschermen.

Boetes

De stok achter de deur van dit alles zijn stevige boetes. U hoeft niet te vrezen dat u voor de minste inbreuk een miljoenenboete krijgt, maar wie de meest voor de hand liggende waarschuwingen negeert of zich weigert in regel te stellen, riskeert bij een datalek een boete tot 10 miljoen euro of 2 procent van de globale omzet (de lat ligt op het hoogste bedrag van de twee). Als u meer data verzamelt dan toegelaten, dan gaat het om 20 miljoen euro of 4 procent van de globale jaaromzet.

De praktijk wordt iets genuanceerder. De kans is bijvoorbeeld klein dat u eind mei al een controleur op bezoek krijgt of dat u tegen de zomer een monsterboete krijgt als u een fout begaat. Maar de wet is er en zal in de komende jaren alleen maar consequenter worden toegepast.

De combinatie van de boeteverhalen en het stevig juridisch kluwen dat de wet is, maakt dat sommige partijen u maar al te graag ‘GDPR-compliant’ maken tegen een al dan niet democratische vergoeding. Maar dat verdient nuance. Net zoals met de wagen van Oostende naar Durbuy rijden meer inhoudt dan uw auto in orde hebben en uw rijbewijs halen, is ook correct en veilig omgaan met persoonsgegevens meer dan een veiliger server en ‘geen domme dingen doen’.

Zullen Belgische bedrijven klaar zijn tegen 25 mei?

“Slechts een fractie van de Belgische bedrijven zal klaar zijn tegen mei, voor zover dit al helemaal mogelijk is, gezien de wetgeving zelf nog niet finaal is”, zegt Jean-Pierre Bernaerts, oprichter van DPOffice en GDPR-consultant. “Er zijn lokale afwijkingen mogelijk, bijvoorbeeld rond het aanstellen van een data protection officer (DPO). Daar zijn sommige zaken voor België nog niet gekend. Hetzelfde geldt voor sommige lokale verplichte toevoegingen, onder meer rond vrijheid van meningsuiting en informatie. Dat wordt bijvoorbeeld voor uitgevers moeilijk.” Wel verwacht hij dat een groot aantal Belgische bedrijven klaar zullen zijn met de basisverplichtingen.

Danielle Jacobs van Beltug volgt die redenering. “Er zijn nog te veel recente of zelfs nog komende bepalingen, waardoor er zal worden bijgestuurd. Zelfs een groot bedrijf dat de voorbereiding zeer ernstig neemt, geraakt niet rond.” Ze wijst daarbij op de herziening van alle IT-contracten, maar ook bijvoorbeeld op de verplichting alle data te inventariseren. “Denk maar aan evaluaties van personeel, dat zit vaak wel in een Word- of Excel-bestand, maar niet in een database. Of informatie die je salesafdeling heeft over de hobbies van klanten.”

“De meeste bedrijven zullen wel vooruitgang maken rond GDPR, maar klaar zijn tegen mei lijkt moeilijk”, zegt Kapil Varshney, director Strategic Market Development bij Tata Consultancy Services. “Het loopt bovendien gelijk met andere wetgevingen, wat bedrijven onder druk zet. Alle deadlines halen wordt een uitdaging.”

“Te veel bedrijven zijn te laat in gang geschoten om tijdig klaar te zijn, ” vult Geert Somers, advocaat bij Time.Lex, aan. “De voorbereiding vereist dat je eerst alle gegevensstromen in kaart brengt en eventuele problemen oplost en de maatregelen daarvoor implementeert. Dat kan makkelijk zes tot twaalf maanden duren. Wellicht is 2019-2020 een realistische timing. Een en ander zal ook afhangen van hoe actief de gegevensbeschermingsautoriteiten na de inwerkingtreding van de GDPR zullen zijn. Dat zal van EU-land tot EU-land afhangen.” Sven Arnauts, GDPR-expert en DPO bij delaware, schat in dat het nog later zal zijn. “De meeste bedrijven zullen al wel de grote werven hebben geïdentificeerd en hier met de eerste stappen bezig zijn. Maar bedrijven zullen ten vroegste tegen 2025 volledig compliant zijn.”

De basisvereisten

De nieuwe datawetgeving is niet zozeer een to-do als wel een soort levensstijl voor uw onderneming. Maar waar begint die nieuwe stijl en is ze wel zo nieuw? In veel gevallen gaat het om bestaande regels en best practices in een nieuw Europees jasje. Maar wel een waarop zal worden toegekeken.

“Het is aan te raden om zo snel mogelijk een grondig assessment van de huidige situatie te maken. Welke persoonsgegevens verwerkt het bedrijf precies? Waar worden ze opgeslagen? Wie heeft er al dan niet toegang? Is het niveau van de gegevensbescherming voldoende? Kortom, hoe ziet de dataflow eruit en welke risico’s zijn eraan verbonden?” vat Fabienne Lens van CTG samen. Die analyse moet ook in kaart brengen welke wettelijke verplichtingen nog ontbreken en wat er beter kan. Op basis van die assessment kan u als bedrijf vervolgens de situatie verbeteren.

Belangrijk daarbij is dat u verder denkt dat het managementniveau en de IT-afdeling. “Het is belangrijk dat iedereen binnen het bedrijf een opleiding krijgt, of het nu om een bewustwordingstraining gaat, dan wel om een cursus rond het uitvoeren van specifieke acties bij een datalek, ” stelt Lens.

Zo’n bewustwordingstraining kan opgevolgd worden met een paar ‘brandoefeningen’. Een voor de hand liggende oefening is een valse phishingmail om te kijken of personeelsleden er op ingaan. Zo ontdekte onze redactie dat een Belgische bank recent een valse phishingmail uitstuurde naar haar managers, zogezegd komende van een Data News-redacteur. Goed bedoeld, al raden we in zo’n situatie aan om ook de persoon wiens identiteit u overneemt even te waarschuwen.

“Naast weten welke persoonlijke data wordt verzameld, moet je ook kunnen zeggen waarom je dat doet, weten wie die data (binnen je bedrijf) heeft bekeken en voor welke doeleinden”, vult Kapil Varshney van Tata Consultancy Services aan. “Ook het vergeet-mij principe is belangrijk, ” merkt Dany Delepierre van Accenture op. “Burgers hebben het recht vergeten te worden en dus moet een organisatie de burgers ervan verzekeren dat hun persoonlijke gegevens volledig verwijderd kunnen worden.”

Vergeet ook de kleine lettertjes niet. GDPR is een goed moment om na te gaan of uw privacyverklaring en cookiebeleid nog actueel zijn.

Niet vergeten

We vragen onze experten ook welke maatregelen wel eens over het hoofd worden gezien. Daar komen enkele opmerkelijke zaken uit: “Wanneer je indirect informatie over een natuurlijke persoon ontvangt, dan moet je die persoon hiervan inlichten binnen de maand of bij het eerste contact (wat het eerst voorkomt), ” wijst Jean-Pierre Bernaerts van DPOffice aan. Die indirecte partij moet daarbij vertellen waar de gegevens vandaan komen, waarom het wettelijk is toegelaten, hoe lang ze worden bewaard en welke rechten de persoon hieromtrend heeft. “Een hele boterham, maar verplicht en dikwijls vergeten!”

Siebe De Roovere van Toreon wijst op de nood aan proportionaliteit. In principe mag je niet meer persoonlijke data bewaren dan nodig. Maar marketing- en salesafdelingen hebben graag zo veel mogelijk gegevens om hun doelpubliek te benaderen. “Men mag enkel nog data verzamelen en gebruiken waarvoor een gegronde reden is. Dat zorgt voor een schizofrene verkoopsstrategie bij BI-adviesbureau’s en BI-integratoren.” Het CRM is daar een interessant voorbeeld van: “Veel tools hebben open tekstvelden waarin sales allerlei persoonlijke data bewaren om persoonlijk en betrokken over te komen. Bijvoorbeeld ‘de klant heeft 2 kinderen’. Dit heeft echter niets met de doelstellingen te maken en is niet meer toegelaten. We raden daarom aan om zo’n open velden te vermijden wegens de onbeheersbaarheid.”

Heeft het zin?

Meer regels, meer bescherming, maar ook meer kopzorgen. Toch biedt de databeschermingswet ook voordelen. “Het dwingt bedrijven en overheden om na te denken over de vele gegevensverwerkingen die ze doen”, zegt Geert Somers (Time.Lex). “Te vaak zijn bedrijven hongerig naar meer gegevens, al is het maar omdat ze ooit nog van pas kunnen komen. Nu worden ze gedwongen om meer strategisch met gegevens om te gaan en zich te beperken tot wat ze echt nodig hebben.” Maar daar zit ook een economisch voordeel in: “Een dienst die kan aantonen dat ze ontwikkeld is volgens privacy-by-design principes van de GDPR zou beter kunnen verkopen dan een concurrent die dergelijke waarborgen niet biedt”, vervolgt collega Hans Graux.

Ook Marc Lambotte, hoofd van technologiefederatie Agoria, volgt die redenering: “Bedrijven zullen een mind-switch moeten maken om stil te staan bij het verwerken van persoonsgegevens en dit kan uiteindelijk leiden tot een competitief voordeel. De GDPR is een goede zaak om de aandacht te vestigen op dit fundamenteel recht van iedere persoon en hier op gepaste wijze mee om te gaan.”

Maar dat maakt het voor bedrijven niet makkelijk. “GDPR is abstracte materie en complex om te vertalen naar concrete maatregelen op ondernemingsniveau. Sommige rechten, zoals het recht op overdraagbaarheid, vergen tevens enkele technische aanpassingen die niet altijd eenvoudig te implementeren zijn door kmo’s met geen of beperkte kennis.”

Zal dat geld kosten?

Waarschijnlijk wel. Maar veel hangt af van hoe u er voor staat en waarmee u aan de slag gaat. “Het bijhouden van een register van gegevensverwerkingsactiviteiten kan een dure aangelegenheid zijn als gekozen wordt voor bepaalde commerciële oplossingen met jaarlijkse licentiekosten. Maar dit kan ook met een eigen configuratie in bestaande software zoals Sharepoint, ” zegt Geert Somers van Time Lex. “Het hoeft geen dure aangelegenheid te zijn. Maar in praktijk is het dat wel, ” stelt Marc Lambotte van Agoria. “Ondernemingen die de kennis niet in huis hebben, moeten bijvoorbeeld beroep doen op (dure) consultants om hen te begeleiden.” Tata Consultancy Services raadt aan om te kijken welke bestaande tools een bedrijf al heeft. “Vaak zijn ze niet geïmplementeerd om alle systemen met persoonlijke data af te dekken. Een manier om kosten te besparen is dus om bestaande investeringen te hergebruiken in plaats van meteen voor nieuwe tools te gaan.” Soms blijft het wel proberen. Zo is er niet voor alles een kant-en-klare tool. “Veel zaken zijn vanzelfsprekend, maar bestaan gewoon nog niet. Zoals een goede uitdiensttreedprocedure om alle toegang van een werknemer af te nemen als hij of zij ontslag neemt of van afdeling verhuist,” zegt Herman Maes, marketing technologist bij Intracto. “Voor bedrijven in de B2B-sfeer en waar de persoonsgegevens vooral personeelsgegevens zijn, is het goed beheersbaar. Maar voor bedrijven die sterk doorgedreven met de GDPR te maken hebben (banken, pharma, ziekenhuizen, retail, direct marketing…) is het een zware en kostelijke voorbereiding,” zegt Danielle Jacobs van Beltug. “De kost is lang niet alleen de externe kost door derden, maar ook de tijd van medewerkers in de voorbereiding en de sensibilisering.”

Pieterjan Van Leemputten

“Alle deadlines halen wordt een uitdaging” Kapil Varshney, Tata Consultancy Services.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content