De General Data Protection Regulation wordt geen big bang, maar het is wel het moment om uw datazaken op orde te stellen. Wat moet u zeker doen? Wat mag u niet vergeten en zal het uw bedrijf iets kosten? Data News neemt poolshoogte bij experten.
Bron: Datanews
Voor die twee lezers die nu nog uit de lucht vallen, een korte samenvatting: op 25 mei 2018 gaat de General Data Protection Regulation ofwel GDPR van kracht. Deze Europese wetgeving bepaalt hoe bedrijven, overheden en organisaties moeten omgaan met persoonsgegevens, met een stevige focus op privacy en veiligheid. Consumenten kunnen bijvoorbeeld bedrijven vragen waarom hun data wordt bijgehouden en verwerkt. Bedrijven mogen van hun kant niet zomaar eender wat bewaren en verwerken, laat staan doorspelen aan partners.
Maar het blijft niet beperkt tot het verwerken van data. U wordt ook geacht veilig en verantwoord om te gaan met die gegevens. Als morgen uw database wordt gehackt, dan moet u dat, afhankelijk van welke gegevens worden gestolen, binnen de 72 uur melden aan de Gegevensbeschermingsautoriteit (vandaag nog bekend als de Privacycommissie) en mogelijk aan de leden of klanten wiens gegevens gelekt zijn. Op gehackt worden staat geen boete, tenzij blijkt dat u te weinig heeft gedaan om de gegevens te beschermen.
De stok achter de deur van dit alles zijn stevige boetes. U hoeft niet te vrezen dat u voor de minste inbreuk een miljoenenboete krijgt. Maar wie de meest voor de hand liggende waarschuwingen negeert of zich weigert in regel te stellen, riskeert bij een datalek een boete tot 10 miljoen euro of 2 procent van de globale omzet (de lat ligt op het hoogste bedrag van de twee). Als u meer data verzamelt dan toegelaten, dan gaat het om 20 miljoen euro of 4 procent van de globale jaaromzet.
De praktijk wordt iets genuanceerder. De kans is bijvoorbeeld klein dat u eind mei al een controleur op bezoek krijgt of dat u tegen de zomer een monsterboete krijgt als u een fout begaat. Maar de wet is er en zal in de komende jaren alleen maar consequenter worden toegepast.
De combinatie van de boeteverhalen en het stevig juridisch kluwen dat de wet is, maakt dat sommige partijen u maar al te graag ‘GDPR-compliant’ maken tegen een al dan niet democratische vergoeding. Maar dat verdient nuance. Net zoals met de wagen van Oostende naar Durbuy rijden meer inhoudt dan uw auto in orde hebben en uw rijbewijs halen, is ook correct en veilig omgaan met persoonsgegevens meer dan een veiliger server en ‘geen domme dingen doen’.
“Slechts een fractie van de Belgische bedrijven zal klaar zijn tegen mei, voor zover dit al helemaal mogelijk is, gezien de wetgeving zelf nog niet finaal is”, zegt Jean-Pierre Bernaerts, oprichter van DPOffice en GDPR-consultant. “Er zijn lokale afwijkingen mogelijk, bijvoorbeeld rond het aanstellen van een data protection officer (DPO). Daar zijn sommige zaken voor België nog niet gekend. Hetzelfde geldt voor sommige lokale verplichte toevoegingen, onder meer rond vrijheid van meningsuiting en informatie. Dat wordt bijvoorbeeld voor uitgevers moeilijk.” Wel verwacht hij dat een groot aantal Belgische bedrijven klaar zullen zijn met de basisverplichtingen.
Danielle Jacobs van Beltug volgt die redenering. “Er zijn nog te veel recente of zelfs nog komende bepalingen, waardoor er zal worden bijgestuurd. Zelfs een groot bedrijf dat de voorbereiding zeer ernstig neemt, geraakt niet rond.” Ze wijst daarbij op de herziening van alle IT-contracten, maar ook bijvoorbeeld op de verplichting alle data te inventariseren. “Denk maar aan evaluaties van personeel, dat zit vaak wel in een Word- of Excel-bestand, maar niet in een database. Of informatie die je salesafdeling heeft over de hobbies van klanten.”
“De meeste bedrijven zullen wel vooruitgang maken rond GDPR, maar klaar zijn tegen mei lijkt moeilijk,” zegt Kapil Varshney, director Strategic Market Development bij Tata Consultancy Services. “Het loopt bovendien gelijk met andere wetgevingen wat bedrijven onder druk zet. Alle deadlines halen wordt een uitdaging.”
“Te veel bedrijven zijn te laat in gang geschoten om tijdig klaar te zijn,” vult Geert Somers, advocaat bij Time.Lex, aan. “De voorbereiding vereist dat je eerst alle gegevensstromen in kaart brengt en eventuele problemen oplost en de maatregelen daarvoor implementeert. Dat kan makkelijk zes tot twaalf maanden duren. Wellicht is 2019-2020 een realistische timing. Een en ander zal ook afhangen van hoe actief de gegevensbeschermingsautoriteiten na de inwerkingtreding van de GDPR zullen zijn. Dat zal van EU-land tot EU-land afhangen.” Sven Arnauts, GDPR-expert en DPO bij delaware, schat in dat het nog later zal zijn. “De meeste bedrijven zullen al wel de grote werven hebben geïdentificeerd en hier met de eerste stappen bezig zijn. Maar bedrijven zullen ten vroegste tegen 2025 volledig compliant zijn.”
“Het is aan te raden om zo snel mogelijk een grondig assessment van de huidige situatie te maken. Welke persoonsgegevens verwerkt het bedrijf precies? Waar worden ze opgeslagen? Wie heeft er al dan niet toegang? Is het niveau van de gegevensbescherming voldoende? Kortom, hoe ziet de dataflow eruit en welke risico’s zijn eraan verbonden?” Vat Fabienne Lens van CTG samen. Die analyse moet ook in kaart brengen welke wettelijke verplichtingen nog ontbreken en wat er beter kan. Op basis van die assessment kan u als bedrijf vervolgens de situatie verbeteren.
Belangrijk daarbij is dat u verder denkt dat het managementniveau en de IT-afdeling. “Het is belangrijk dat iedereen binnen het bedrijf een opleiding krijgt, of het nu om een bewustwordingstraining gaat, dan wel om een cursus rond het uitvoeren van specifieke acties bij een datalek,” stelt Lens.
Zo’n bewustwordingstraining kan opgevolgd worden met een paar ‘brandoefeningen’. Een voor de hand liggende oefening is een valse phishingmail om te kijken of personeelsleden er op ingaan. Zo ontdekte onze redactie dat een Belgische bank recent een valse phishingmail uitstuurde naar haar managers, zogezegd komende van een Data News-redacteur. Goed bedoeld, al raden we in zo’n situatie aan om ook de persoon wiens identiteit u overneemt even te waarschuwen.
“Naast weten welke persoonlijke data wordt verzameld, moet je ook kunnen zeggen waarom je dat doet, weten wie die data (binnen je bedrijf) heeft bekeken en voor welke doeleinden”, vult Kapil Varshney van Tata Consultancy Services aan. “Ook het vergeet-mij principe is belangrijk,” merkt Dany Delepierre van Accenture op. “Burgers hebben het recht vergeten te worden en dus moet een organisatie de burgers ervan verzekeren dat hun persoonlijke gegevens volledig verwijderd kunnen worden.”
Vergeet ook de kleine lettertjes niet. GDPR is een goed moment om na te gaan of uw privacyverklaring en cookiebeleid nog actueel zijn.
We vragen onze experten ook welke maatregelen wel eens over het hoofd worden gezien. Daar komen enkele opmerkelijke zaken uit: “Wanneer je indirect informatie over een natuurlijke persoon ontvangt, dan moet je die persoon hiervan inlichten binnen de maand of bij het eerste contact (wat het eerst voorkomt),” wijst Jean-Pierre Bernaerts van DPOffice aan. Die indirecte partij moet daarbij vertellen waar de gegevens vandaan komen, waarom het wettelijk is toegelaten, hoe lang ze worden bewaard en welke rechten de persoon hieromtrend heeft. “Een hele boterham, maar verplicht en dikwijls vergeten!”
Siebe De Roovere van Toreon wijst op de nood aan proportionaliteit. In principe mag je niet meer persoonlijke data bewaren dan nodig. Maar marketing- en salesafdelingen hebben graag zo veel mogelijk gegevens om hun doelpubliek te benaderen. “Men mag enkel nog data verzamelen en gebruiken waarvoor een gegronde reden is. Dat zorgt voor een schizofrene verkoopsstrategie bij BI-adviesbureau’s en BI-integratoren.” Het CRM is daar een interessant voorbeeld van: “Veel tools hebben open tekstvelden waarin sales allerlei persoonlijke data bewaren om persoonlijk en betrokken over te komen. Bijvoorbeeld ‘de klant heeft 2 kinderen’. Dit heeft echter niets met de doelstellingen te maken en is niet meer toegelaten. We raden daarom aan om zo’n open velden te vermijden wegens de onbeheersbaarheid.”
Meer regels, meer bescherming, maar ook meer kopzorgen. Toch biedt de databeschermingswet ook voordelen. “Het dwingt bedrijven en overheden om na te denken over de vele gegevensverwerkingen die ze doen,” zegt Geert Somers(Time.Lex). “Te vaak zijn bedrijven hongerig naar meer gegevens, al is het maar omdat ze ooit nog van pas kunnen komen. Nu worden ze gedwongen om meer strategisch met gegevens om te gaan en zich te beperken tot wat ze echt nodig hebben.” Maar daar zit ook een economisch voordeel in: “Een dienst die kan aantonen dat ze ontwikkeld is volgens privacy-by-design principes van de GDPR zou beter kunnen verkopen dan een concurrent die dergelijke waarborgen niet biedt”, vervolgt collega Hans Graux.
Ook Marc Lambotte, hoofd van technolgiefederatie Agoria, volgt die redenering: “Bedrijven zullen een mind-switch moeten maken om stil te staan bij het verwerken van persoonsgegevens en dit kan uiteindelijk leiden tot een competitief voordeel. De GDPR is een goede zaak om de aandacht te vestigen op dit fundamenteel recht van iedere persoon en hier op gepaste wijze mee om te gaan.”
Maar dat maakt het voor bedrijven niet makkelijk. “GDPR is abstracte materie en complex om te vertalen naar concrete maatregelen op ondernemingsniveau. Sommige rechten, zoals het recht op overdraagbaarheid, vergen tevens enkele technische aanpassingen die niet altijd eenvoudig te implementeren zijn door kmo’s met geen of beperkte kennis.”
Waarschijnlijk wel. Maar veel hangt af van hoe u er voor staat en waarmee u aan de slag gaat. “Het bijhouden van een register van gegevensverwerkingsactiviteiten kan een dure aangelegenheid zijn als gekozen wordt voor bepaalde commerciële oplossingen met jaarlijkse licentiekosten. Maar dit kan ook met een eigen configuratie in bestaande software zoals Sharepoint,” zegt Geert Somers van Time Lex. “Het hoeft geen dure aangelegenheid te zijn. Maar in praktijk is het dat wel,” stelt Marc Lambotte van Agoria. “Ondernemingen die de kennis niet in huis hebben, moeten bijvoorbeeld beroep doen op (dure) consultants om hen te begeleiden.” Tata Consultancy Services raadt aan om te kijken welke bestaande tools een bedrijf al heeft. “Vaak zijn ze niet geïmplementeerd om alle systemen met persoonlijke data af te dekken. Een manier om kosten te besparen is dus om bestaande investeringen te hergebruiken in plaats van meteen voor nieuwe tools te gaan.”
Soms blijft het wel proberen. Zo is er niet voor alles een kant-en-klare tool. “Veel zaken zijn vanzelfsprekend, maar bestaan gewoon nog niet. Zoals een goede uitdiensttreedprocedure om alle toegang van een werknemer af te nemen als hij of zij ontslag neemt of van afdeling verhuist,” zegt Herman Maes, marketing technologist bij Intracto.
“Bedrijven in de B2B-sfeer en waar de persoonsgegevens vooral personeelsgegevens zijn, is het goed beheersbaar. Maar voor bedrijven die sterk doorgedreven met de GDPR te maken hebben (banken, pharma, ziekenhuizen, retail, direct marketing…) is het een zware en kostelijke voorbereiding,” zegt Danielle Jacobs van Beltug. “De kost is lang niet alleen de externe kost door derden, maar ook de tijd van medewerkers in de voorbereiding en de sensibilisering.”
De grootste misvattingen over GDPR
We vroegen ons expertenpanel ook de grootste misvattingen die ze over de nieuwe privacywet hebben gehoord.
Dat GDPR digitale marketing onmogelijk maakt, gelooft Herman Maes van Intracto niet. En ook: “Dat het iets voor IT is en dat bedrijven klaar zullen zijn met wat extra papierwerk, nieuwe contracten en een security audit.” Ook Dany Delepierre, expert bij Accenture benadrukt dat. “GDPR heeft een impact op het volledige bedrijf en naast de technologische uitdagingen is er ook de organisatievorm, de kennis en vaardigheden van werknemers en de verschillende bedrijfsprocessen die het voorwerp van verandering kunnen zijn.” Hij wijst onder meer op een doorgedreven bewustmakingsproces en adequate personeelsopleidingen.
“Een tool is geen oplossing om GDPR na te leven,” klinkt het bij Siebe De Roovere, GDPR-expert bij ICT security consultancybedrijf Toreon. “Bedrijven die nu pas wakker schieten, hebben vaak een paniekreactie en hopen dat de aankoop van een privacytool er voor zorgt dat ze de wet snel kunnen naleven. A fool with a tool remains a fool. Bepaal eerst je tekortkomingen en compliance strategie voor je halsoverkop dingen aankoopt.”
Jean-Pierre Bernaerts van DPOffice wijst er op dat de wetgeving ook nodig is voor bedrijven die zuiver in de B2B-sfeer werken. Iets waar ook Fabienne Lens van CTG op hamert: “Elk bedrijf dat persoonsgegevens verwerkt valt onder de wetgeving. Of het die informatie opslaat of niet.”
Anja Lemmens. Anja startte haar carriere in 1999. Over de jaren heen heeft ze ervaring opgebouwd in verschillende grote bedrijven zoals Proximus, USG People en Eandis. Anja werkte voornamelijk in HR-ondersteunende functies. En kwam zo in contact met heel veel persoonsgegevens. Vanuit die hoek ook met sociaal en arbeidsrecht. Daaruit groeide haar interesse voor de GDPR en data protectie. In 2017 slaagde Anja voor de opleiding Data Protection Officer. In haar bijna 20-jarige loopbaan heeft Anja zich een open en pragmatische manier van werken toegeëigend.
Of u nu een KMO, multinational bent of in de publieke sector actief bent, we kunnen onze GDPR-diensten op uw behoeften afstemmen.
Zodra de wetgeving in werking is getreden, op 25 mei 2018, moeten de verwerkingsverantwoordelijken ervoor zorgen dat persoonsgegevens rechtmatig, transparant en voor een specifiek doel worden verwerkt.
De GDPR vereist dat de verwerkingsverantwoordelijken en verwerkers transparant zijn over hoe zij gegevens verzamelen, wat zij ermee doen en hoe zij deze verwerken.
Controllers moeten de informatie van mensen kunnen aanleveren in veelgebruikte formaten (zoals CSV-bestanden). Zodat de betrokkene op een eenvoudige manier zijn gegevens kan overdragen naar een andere organisatie (gratis) als de persoon daarom vraagt.
De verantwoordelijke voor de verwerking moet de gegevens binnen een maand aanleveren.
Individuen hebben ook het recht om te eisen dat hun gegevens worden gewist als ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld. Dit staat bekend als het “recht om te worden vergeten”.
Onder deze regel kunnen ze ook eisen dat hun gegevens worden gewist als ze hun toestemming voor het verzamelen van hun gegevens hebben ingetrokken, of bezwaar hebben tegen de manier waarop ze worden verwerkt.
Het is de verantwoordelijkheid van de controller om andere organisaties (bijvoorbeeld Google) te informeren over het verwijderen van links naar kopieën van die gegevens, evenals de kopieën zelf.
Toestemming geven moet een actieve, positieve actie van de betrokkene zijn, en niet de passieve aanvaarding zoals onder sommige huidige modellen d.m.v vooraf aangevinkte vakjes.