Wie is er bang voor de GDPR?

Over een kleine maand worden nieuwe Europese privacyregels van kracht. Ondanks de dreigende miljoenenboetes lijken weinig bedrijven of overheden daar klaar voor. De typisch Belgische pragmatiek overheerst.

Beste Pieter, de bescherming van je privacy vinden we bij (bedrijf X) heel belangrijk.' De kans is aanzienlijk dat u de afgelopen weken soortgelijke mailtjes kreeg. Zelfs voor wie niet professioneel bezig is met privacy of databescherming begint het zo te dagen: er is iets op til rond uw persoonsgegevens. Op 25 mei moeten alle bedrijven en overheden die zulke gegevens gebruiken in lijn zijn met nieuwe Europese regels.

De toon van de mailtjes is bijna nederig. Voor een keer is dat geen marketingtruc. Iedereen is het erover eens dat de GDPR-regels (General Data Protection Regulation) de nieuwe wereldwijde privacystandaard zijn. Het centrale idee is dat u - als klant of werknemer - de controle behoudt over uw gegevens. Bedrijven en overheden hebben uw expliciete toestemming nodig als ze ermee aan de slag willen gaan. Dat verklaart meteen de mailtjes die u krijgt.

Voor bedrijven die dat nalaten, wachten monsterboetes: tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Die stevige sanctie, en het feit dat de verordening zo breed gaat, bracht het afgelopen jaar een ware angstpsychose op gang. Consultants en zelfverklaarde experts liepen zich de benen uit het lijf om bedrijven tot actie aan te zetten.

GDPR

Met de General Data Protection Regulation gaan op 25 mei nieuwe verregaande privacyregels van kracht in de Europese Unie. Bedrijven en overheden die data van klanten of werknemers beheren, moeten aan een reeks verplichtingen voldoen.

Zo moeten ze een speciale 'data protection officer' aanstellen. Ze moeten in de meeste gevallen ook de expliciete toestemming hebben van hun klanten of werknemers voor het gebruik van hun data. Als die data verloren gaan bij een hack of lek, moet dat binnen 72 uur gemeld worden. Verder zijn er ook enkele procedurele eisen, waaronder het aanleggen van een dataregister. Bedrijven of overheden die hier niet mee in orde zijn, kunnen in het extreme geval boetes krijgen van 20 miljoen euro of 4 procent van de wereldwijde omzet. De privacycommissie stuurt wel aan op een milde aanpak.

Informaticacomponent

Maar een maand voor het echt zover is, zijn weinig bedrijven of overheden in orde met alle aspecten van de nieuwe wet. Dat leert een rondvraag van De Tijd. Dat hoeft ook niet te verbazen. Een enquête van de technologiefederatie Agoria bij 250 bedrijven eind vorig jaar leerde dat de helft nog niet bekend was met de nieuwe wetgeving.

Door de complexiteit daarvan hebben experts er een hard hoofd in dat die bedrijven hun achterstand hebben bijgebeend. Zowel grote als kleine bedrijven hebben elk hun eigen uitdagingen. Kmo's hebben zelden voldoende juridische expertise in huis en moeten hopen dat hun sectororganisatie bij de les is. Unizo schat dat slechts 15 procent in orde is. Grote bedrijven worstelen op hun beurt met datastromen buiten de Europese Unie of versnipperde data-architectuur door overnames.

Zelfs de overheid is niet klaar, erkent de Privacycommissie, de instantie die moet gaan controleren. Dat maakt dat de focus verschuift van het resultaat naar het proces. 'De Privacycommissie gaf een pragmatisch signaal', aldus Matthias Vierstraete, advocaat bij het bureau Laga en expert in de materie. 'Als je als bedrijf al redelijke stappen ondernam, volgen waarschijnlijk geen boetes.'

25 mei wordt zo niet de big bang die iedereen vreest. Dat is voor een deel te wijten aan de stevige informaticacomponent die met de nieuwe regels gepaard gaat. De regels schrijven voor dat, voor zover dat past binnen andere wettelijke verplichtingen, klanten of werknemers te allen tijde hun gegevens kunnen inkijken, aanpassen of verwijderen. Zoiets vergt zowel een mentaliteitsswitch als een ingreep in IT-systemen, duidt Gert Beeckmans, de data protection officer (DPO) van de hr-dienstverlener SD Worx. De meeste bedrijven hebben vanaf 25 mei zo'n DPO nodig.

'Zo'n vraag tot inzage van gegevens is altijd een proces, waar je de balans moet houden met andere aspecten. Je moet hr-managers daarop voorbereiden.' Dat alle processen al voor 25 mei een digitale update krijgen noemt hij een 'utopie'. 'Je kan vertrekken vanuit een handmatige tussenoplossing en het komende jaar je IT-systemen bijsturen.'

Inhaalslag

Als je als bedrijf al redelijke stappen ondernam, volgen waarschijnlijk geen boetes. - Matthias Vierstraete

Verscheidene bedrijven geven daarbij prioriteit aan de meest datakritische onderdelen van hun organisatie. 'We merken dat bedrijven focussen op de verwerking van klantengegevens, wat het meest visibele onderdeel is', aldus Vierstraete. Dat de Privacycommissie zelf nog niet klaar is met haar omvorming tot Gegevensbeschermingsautoriteit speelt daarbij ongetwijfeld een rol. 'De verwachting is dat die instantie vooral verder focust op bewustzijn en op basis van klachten handelt', aldus Beeckmans.

De typische pragmatiek komt voort uit het feit dat België nooit de ijverigste leerling in de privacyklas was. Beeckmans, die bij SD Worx voor negen landen het GDPR-dossier regelt, merkt een striktere aanpak in Duitsland. 'De aanstelling van een data protection officer was daar al langer een eis.' Frank Socquet, GDPR-expert bij Unizo, ziet vooral een inhaalslag bij Belgische bedrijven. 'GDPR is voor 85 procent herneming van eerdere wetgeving, waar veel bedrijven zich niet aan hielden.'

Wie nu nog moet beginnen kan nog inhalen, meent Vierstraete. Een goede eerste stap is het opstellen van het dataregister: welke afdeling gebruikt welke gegevens voor welke redenen? Een brede blik is daarbij nodig. Iedereen gebruikt data, tot de persoon die toegangsbadges regelt toe. 'Zo krijgen we veel hr-vragen. Mag ik nog aan camerabewaking doen? En hoe zit het met de monitoring van internetverkeer?' merkt Thomas Van Gremberghe van Agoria op.

Het is met andere woorden een brede oefening in bedrijfshygiëne, zowel intern als extern. Maar die kan ook opleveren, merkt Vierstraete op. 'Waarom doe je met data wat je doet? Dat kan een businessopportuniteit zijn.' Vraag dat maar aan Facebook, dat groot werd dankzij data. Bij zijn wijzigingen voor de GDPR vroeg het en passant uw fiat voor gezichtsherkenning. Er valt iets uit te leren.

Reageer op het artikel. Deel je mening via een tweet.  

Eerst ga je naar:

www.prankmenot.com

Ten tweede selecteer je 'create tweet'.
Daarna geef je je naam in.
Vervolgens schrijf je je tweet.
Daarna maak je een screenshot van je tweet.
Tenslotte plaats je deze screenshot in de uploadzone 'Tweets' bij het vak Nederlands op Smartschool. 

www.smartschool.be

De Preter, W. & Haeck, P. (2018, 27 april). Wie is er bang voor de GDPR? De Tijd. Geraadpleegd op 28 april, van https://www.tijd.be/tech-media/technologie/wie-is-er-bang-voor-de-gdpr/10006897.html 

Maak een gratis website. Deze website werd gemaakt met Webnode. Maak jouw eigen website vandaag nog gratis! Begin