Vier experten over de GDPR: “Privacy is het nieuwe groen”
We staan aan de vooravond van een privacy-revolutie. Over twee jaar treedt de nieuwe Europese wetgeving omtrent privacy en persoonsgegevens in werking, waardoor elk bedrijf dat zich bezighoudt met Europese persoonsgegevens zich zal moeten schikken naar een strengere regulering.
De GDPR, zoals de wetgeving ook wordt genoemd, brengt echter meer vragen dan antwoorden met zich mee. Bedrijven zijn dan ook koortsachtig op zoek naar advies rond GDPR-compliancy. Op het Business Meets IT-seminarie van 15 september gaven vier experten antwoord op de meest prangende vragen. Een overzicht.
GDPR? Nooit van gehoord
Volgens onderzoek van Smart Business en ZDnet.be heeft 73 procent van de lezers geen enkel idee waar de GDPR voor staat. Zo’n 23 procent kent de grote lijnen, en slechts 4 procent zegt thuis te zijn in de materie. Hoog tijd dus om daar verandering in te brengen, volgens Smart Business- en Twinkle-hoofdredacteur Bart Stoffels. “Dit kan je als bedrijf niet meer koud laten.”
Doel van de GDPR is enerzijds om meer transparantie en meer privacy te bieden voor klanten, en anderzijds om bedrijven aan te zetten om privacy en veiligheid te waarborgen. Persoonsgegevens mogen enkel worden verzameld als ze nodig zijn, met expliciete toestemming, en het bedrijf (of de verwerker) is verantwoordelijk voor wat er met de data gebeurt.
Kijk naar hacks die uitmonden in datalekken en breed worden uitgesmeerd in de media: LinkedIn, Dropbox, de Panama Papers. Het kan elke organisatie overkomen, maar de GDPR dwingt bedrijven alvast om er alles aan te doen om zo’n scenario te vermijden.
“Privacy is het nieuwe groen”
In dat opzicht betekent de GDPR voor bedrijven vooral extra kopzorgen. Dat weet ook Patrick Van Eecke, professor aan de UA en advocaat-vennoot bij DLA Piper: “Ondernemingen zien in de nieuwe wetgeving complexiteit: wéér iets om rekening mee te houden.” Een begrijpelijke reactie volgens hem, want de inzet is hoog. Wanneer bedrijven zich niet aan de GDPR houden, en vervolgens tegen de lamp lopen, kunnen ze door de lokale privacycommissie boetes tot 20 miljoen euro worden opgelegd, of 4 procent van de totale, wereldwijde omzet.
“Niet je lokale omzet, niet je winst: je wereldwijde omzet,” beklemtoont Van Eecke. “Dat betekent dat als een groepje Cypriotische Microsoft-medewerkers de mist ingaat, niet enkel hun afdeling beboet wordt, maar het hele bedrijf van Microsoft moet betalen. Vier procent van de wereldwijde omzet; je kan je er iets bij voorstellen.”
Niet elk bedrijf beschouwt de nieuwe regulering als een obstakel. Sommige bedrijven, zoals Nike, zien er net een kans in om zich te onderscheiden. In plaats van zich te concentreren op een compliancy-verhaal, wenden ze de GDPR aan voor een van hun corporate responsibility-initiatieven. “Wij geven om het milieu” verandert zo in “Wij geven om uw data”.
[related_article id=”167184″]Geven en nemen
Meer privacy impliceert bovendien ook meer security. Europese bedrijven moeten bijvoorbeeld te allen tijde kunnen aantonen dat ze het nodige doen om de verzamelde data te beschermen. Alle hens aan dek? Niet per se, volgens Mark Vandenwauver van Ordina Belgium. “Cybersecurity is een evenwichtsoefening. Zie het als de balk bij turnen. Je zal er waarschijnlijk weleens afvallen, maar je moet een balans zoeken. Het TOP-model is daarbij belangrijk.” Vandenwauver heeft het dan niet over een langbenige blondine, maar een model waarbij security steunt op de beveiliging van drie aspecten: technologie, organisatie en personen.
Mensen zijn een eerste prioriteit. Een kleine IT-afdeling van tien werknemers is meestal niet in staat om naast hun huidige taken, ook nog eens voldoende bezig te zijn met security. Het aannemen van extra specialisten is geen overbodige luxe, volgens Vandenwauver: “Ja, dat kost geld. Security is niet gratis, maar een investering kan je wel geld besparen. Het is geven en nemen.”
Op niveau van organisatie en technologie, is het verder belangrijk om bijvoorbeeld te denken aan een nieuw securitybeleid, om impact assessments te houden en om de privacy-vereisten te verwerken in contracten met partners. Tot slot geeft Vandenwauver nog advies mee voor wie nog twijfelt over on-premise data: “Cloud is zeker veilig om te gebruiken, zolang je beroep kunt doen op vakmensen. De werknemers bij AWS of Microsoft hebben vaak meer ervaring dan je eigen team.”
[related_article id=”167904″]Don’t shoot the messenger
Om bovenstaande beleidsveranderingen in goede banen te leiden, worden sommige bedrijven verplicht om zich te wenden naar een professional: de data protection officer (DPO). Peter Berghmans, zelf een DPO en docent aan de Thomas More-Hogeschool, legt uit wat je van de DPO mag verwachten. “De rol van een DPO zit ergens tussen het juridische en het technische in. Aan de ene kant moet hij kennis hebben van de wetteksten, en daarnaast moet hij technisch aangelegd zijn.”
Concreet wil dat zeggen dat de DPO het bedrijf informeert en adviseert over de GDPR. Indien nodig zal hij ook klanten en de privacycommissie te woord kunnen staan, bijvoorbeeld een verzoek om data in te zien. Verder zal hij ook toezien dat het bedrijf het beleid effectief naleeft. Een divers takenpakket dus, maar de rode draad is transparantie: de DPO biedt duidelijkheid.
Voor een DPO moeten bedrijven niet meteen op zoek naar een voltijdse werknemer: een consultant is ook mogelijk. “Als je op zoek gaat: denk eraan dat een goede DPO het bedrijf goed kent. Met iemand die één keer per maand eens op bezoek komt, kom je er niet.”
[related_article id=”168013″]Jarenlange onzekerheid
Als afsluiter werpt advocaat Jos Dumortier van time.lex, en tevens professor aan de KU Leuven, een blik op de toekomst. Dumortier stond in de jaren 90 mee aan het roer van de Belgische privacywet, en is dus de expert bij uitstek wanneer het aankomt op de GDPR.
“De GDPR leidt momenteel tot een privacy-tsunami,” vertelt Dumortier. “Er is een stortvloed aan informatie, opinies en interpretaties. Logisch, want het hele concept genereert nieuwe bedrijfsmogelijkheden voor advocatenbureaus, consulentenkantoren, en anderen die zich op de materie storten,” verklaart Dumortier.
Het is echter nog vroeg dag. Op dit moment is België nog bezig om de nodige richtlijnen en hulpmiddelen klaar te stomen, zegt Dumortier. De privacycommissie begon zelf nog maar enkele maanden terug met het bestuderen van de wetgeving, laat staan dat de nodige infrastructuur al up and running is.
“De onzekerheid die nu heerst, zal er nog zijn in 2018 [het jaar dat de GDPR van kracht wordt, red.], en nog lang daarna,” meent de expert. “Dat was zo bij de vorige versie van de wetgeving, en dat zal nu ook gebeuren.” Dumortier raadt ten slotte aan om zich als bedrijf bewust te zijn van de huidige positie: waar sta je nu?
De klok tikt
De heersende onzekerheid zal dus niet snel opklaren. Desondanks is het cruciaal om zich te verdiepen in de wetgeving voor deze in werking treedt.
Als er één ding is waar de experten het immers over eens zijn, dan is het wel de tijdsdruk. Bedrijven kunnen beter vroeger dan later beginnen met de voorbereidingen voor de GDPR. Of zoals professor Van Eecke het omschrijft: “Als je nu nog moet beginnen, ben je te laat.”