Voor die twee lezers die nu nog uit de lucht vallen, een korte samenvatting: op 25 mei 2018 gaat de General Data Protection Regulation ofwel GDPR van kracht. Deze Europese wetgeving bepaalt hoe bedrijven, overheden en organisaties moeten omgaan met persoonsgegevens, met een stevige focus op privacy en veiligheid. Consumenten kunnen bijvoorbeeld bedrijven vragen waarom hun data wordt bijgehouden en verwerkt. Bedrijven mogen van hun kant niet zomaar eender wat bewaren en verwerken, laat staan doorspelen aan partners.

Maar het blijft niet beperkt tot het verwerken van data. U wordt ook geacht veilig en verantwoord om te gaan met die gegevens. Als morgen uw database wordt gehackt, dan moet u dat, afhankelijk van welke gegevens worden gestolen, binnen de 72 uur melden aan de Gegevensbeschermingsautoriteit (vandaag nog bekend als de Privacycommissie) en mogelijk aan de leden of klanten wiens gegevens gelekt zijn. Op gehackt worden staat geen boete, tenzij blijkt dat u te weinig heeft gedaan om de gegevens te beschermen.

Boetes

De stok achter de deur van dit alles zijn stevige boetes. U hoeft niet te vrezen dat u voor de minste inbreuk een miljoenenboete krijgt. Maar wie de meest voor de hand liggende waarschuwingen negeert of zich weigert in regel te stellen, riskeert bij een datalek een boete tot 10 miljoen euro of 2 procent van de globale omzet (de lat ligt op het hoogste bedrag van de twee). Als u meer data verzamelt dan toegelaten, dan gaat het om 20 miljoen euro of 4 procent van de globale jaaromzet.

© Lectrr

De praktijk wordt iets genuanceerder. De kans is bijvoorbeeld klein dat u eind mei al een controleur op bezoek krijgt of dat u tegen de zomer een monsterboete krijgt als u een fout begaat. Maar de wet is er en zal in de komende jaren alleen maar consequenter worden toegepast.

De combinatie van de boeteverhalen en het stevig juridisch kluwen dat de wet is, maakt dat sommige partijen u maar al te graag 'GDPR-compliant' maken tegen een al dan niet democratische vergoeding. Maar dat verdient nuance. Net zoals met de wagen van Oostende naar Durbuy rijden meer inhoudt dan uw auto in orde hebben en uw rijbewijs halen, is ook correct en veilig omgaan met persoonsgegevens meer dan een veiliger server en 'geen domme dingen doen'.

Zullen Belgische bedrijven klaar zijn tegen 25 mei?

"Slechts een fractie van de Belgische bedrijven zal klaar zijn tegen mei, voor zover dit al helemaal mogelijk is, gezien de wetgeving zelf nog niet finaal is", zegt Jean-Pierre Bernaerts, oprichter van DPOffice en GDPR-consultant. "Er zijn lokale afwijkingen mogelijk, bijvoorbeeld rond het aanstellen van een data protection officer (DPO). Daar zijn sommige zaken voor België nog niet gekend. Hetzelfde geldt voor sommige lokale verplichte toevoegingen, onder meer rond vrijheid van meningsuiting en informatie. Dat wordt bijvoorbeeld voor uitgevers moeilijk." Wel verwacht hij dat een groot aantal Belgische bedrijven klaar zullen zijn met de basisverplichtingen.

Danielle Jacobs van Beltug

Danielle Jacobs van Beltug © Beltug

Danielle Jacobs van Beltug volgt die redenering. "Er zijn nog te veel recente of zelfs nog komende bepalingen, waardoor er zal worden bijgestuurd. Zelfs een groot bedrijf dat de voorbereiding zeer ernstig neemt, geraakt niet rond." Ze wijst daarbij op de herziening van alle IT-contracten, maar ook bijvoorbeeld op de verplichting alle data te inventariseren. "Denk maar aan evaluaties van personeel, dat zit vaak wel in een Word- of Excel-bestand, maar niet in een database. Of informatie die je salesafdeling heeft over de hobbies van klanten."

"De meeste bedrijven zullen wel vooruitgang maken rond GDPR, maar klaar zijn tegen mei lijkt moeilijk," zegt Kapil Varshney, director Strategic Market Development bij Tata Consultancy Services. "Het loopt bovendien gelijk met andere wetgevingen wat bedrijven onder druk zet. Alle deadlines halen wordt een uitdaging."

"Te veel bedrijven zijn te laat in gang geschoten om tijdig klaar te zijn," vult Geert Somers, advocaat bij Time.Lex, aan. "De voorbereiding vereist dat je eerst alle gegevensstromen in kaart brengt en eventuele problemen oplost en de maatregelen daarvoor implementeert. Dat kan makkelijk zes tot twaalf maanden duren. Wellicht is 2019-2020 een realistische timing. Een en ander zal ook afhangen van hoe actief de gegevensbeschermingsautoriteiten na de inwerkingtreding van de GDPR zullen zijn. Dat zal van EU-land tot EU-land afhangen." Sven Arnauts, GDPR-expert en DPO bij delaware, schat in dat het nog later zal zijn. "De meeste bedrijven zullen al wel de grote werven hebben geïdentificeerd en hier met de eerste stappen bezig zijn. Maar bedrijven zullen ten vroegste tegen 2025 volledig compliant zijn."

De basisvereisten

Bekijk de nieuwe datawetgeving zeker niet als een to-do maar als een soort levensstijl voor uw onderneming. Maar waar begint die nieuwe stijl en is ze wel zo nieuw? In veel gevallen gaat het om bestaande regels en best practices in een nieuw Europees jasje. Maar wel een waarop zal toegekeken worden.

Fabienne Lens (CTG)

Fabienne Lens (CTG) © .

"Het is aan te raden om zo snel mogelijk een grondig assessment van de huidige situatie te maken. Welke persoonsgegevens verwerkt het bedrijf precies? Waar worden ze opgeslagen? Wie heeft er al dan niet toegang? Is het niveau van de gegevensbescherming voldoende? Kortom, hoe ziet de dataflow eruit en welke risico's zijn eraan verbonden?" Vat Fabienne Lens van CTG samen. Die analyse moet ook in kaart brengen welke wettelijke verplichtingen nog ontbreken en wat er beter kan. Op basis van die assessment kan u als bedrijf vervolgens de situatie verbeteren.

Belangrijk daarbij is dat u verder denkt dat het managementniveau en de IT-afdeling. "Het is belangrijk dat iedereen binnen het bedrijf een opleiding krijgt, of het nu om een bewustwordingstraining gaat, dan wel om een cursus rond het uitvoeren van specifieke acties bij een datalek," stelt Lens.

Zo'n bewustwordingstraining kan opgevolgd worden met een paar 'brandoefeningen'. Een voor de hand liggende oefening is een valse phishingmail om te kijken of personeelsleden er op ingaan. Zo ontdekte onze redactie dat een Belgische bank recent een valse phishingmail uitstuurde naar haar managers, zogezegd komende van een Data News-redacteur. Goed bedoeld, al raden we in zo'n situatie aan om ook de persoon wiens identiteit u overneemt even te waarschuwen.

"Naast weten welke persoonlijke data wordt verzameld, moet je ook kunnen zeggen waarom je dat doet, weten wie die data (binnen je bedrijf) heeft bekeken en voor welke doeleinden", vult Kapil Varshney van Tata Consultancy Services aan. "Ook het vergeet-mij principe is belangrijk," merkt Dany Delepierre van Accenture op. "Burgers hebben het recht vergeten te worden en dus moet een organisatie de burgers ervan verzekeren dat hun persoonlijke gegevens volledig verwijderd kunnen worden."

Vergeet ook de kleine lettertjes niet. GDPR is een goed moment om na te gaan of uw privacyverklaring en cookiebeleid nog actueel zijn.

Niet vergeten

Jean-Pierre Bernaerts.

Jean-Pierre Bernaerts. © Jan Locus/DN

We vragen onze experten ook welke maatregelen wel eens over het hoofd worden gezien. Daar komen enkele opmerkelijke zaken uit: "Wanneer je indirect informatie over een natuurlijke persoon ontvangt, dan moet je die persoon hiervan inlichten binnen de maand of bij het eerste contact (wat het eerst voorkomt)," wijst Jean-Pierre Bernaerts van DPOffice aan. Die indirecte partij moet daarbij vertellen waar de gegevens vandaan komen, waarom het wettelijk is toegelaten, hoe lang ze worden bewaard en welke rechten de persoon hieromtrend heeft. "Een hele boterham, maar verplicht en dikwijls vergeten!"

Siebe De Roovere van Toreon wijst op de nood aan proportionaliteit. In principe mag je niet meer persoonlijke data bewaren dan nodig. Maar marketing- en salesafdelingen hebben graag zo veel mogelijk gegevens om hun doelpubliek te benaderen. "Men mag enkel nog data verzamelen en gebruiken waarvoor een gegronde reden is. Dat zorgt voor een schizofrene verkoopsstrategie bij BI-adviesbureau's en BI-integratoren." Het CRM is daar een interessant voorbeeld van: "Veel tools hebben open tekstvelden waarin sales allerlei persoonlijke data bewaren om persoonlijk en betrokken over te komen. Bijvoorbeeld 'de klant heeft 2 kinderen'. Dit heeft echter niets met de doelstellingen te maken en is niet meer toegelaten. We raden daarom aan om zo'n open velden te vermijden wegens de onbeheersbaarheid."

Heeft het zin?

Meer regels, meer bescherming, maar ook meer kopzorgen. Toch biedt de databeschermingswet ook voordelen. "Het dwingt bedrijven en overheden om na te denken over de vele gegevensverwerkingen die ze doen," zegt Geert Somers (Time.Lex). "Te vaak zijn bedrijven hongerig naar meer gegevens, al is het maar omdat ze ooit nog van pas kunnen komen. Nu worden ze gedwongen om meer strategisch met gegevens om te gaan en zich te beperken tot wat ze echt nodig hebben." Maar daar zit ook een economisch voordeel in: "Een dienst die kan aantonen dat ze ontwikkeld is volgens privacy-by-design principes van de GDPR zou beter kunnen verkopen dan een concurrent die dergelijke waarborgen niet biedt", vervolgt collega Hans Graux.

Ook Marc Lambotte, hoofd van technolgiefederatie Agoria, volgt die redenering: "Bedrijven zullen een mind-switch moeten maken om stil te staan bij het verwerken van persoonsgegevens en dit kan uiteindelijk leiden tot een competitief voordeel. De GDPR is een goede zaak om de aandacht te vestigen op dit fundamenteel recht van iedere persoon en hier op gepaste wijze mee om te gaan."

Maar dat maakt het voor bedrijven niet makkelijk. "GDPR is abstracte materie en complex om te vertalen naar concrete maatregelen op ondernemingsniveau. Sommige rechten, zoals het recht op overdraagbaarheid, vergen tevens enkele technische aanpassingen die niet altijd eenvoudig te implementeren zijn door kmo's met geen of beperkte kennis."

Zal dat geld kosten?

Marc Lambotte

Marc Lambotte © thomas sweertvaegher

Waarschijnlijk wel. Maar veel hangt af van hoe u er voor staat en waarmee u aan de slag gaat. "Het bijhouden van een register van gegevensverwerkingsactiviteiten kan een dure aangelegenheid zijn als gekozen wordt voor bepaalde commerciële oplossingen met jaarlijkse licentiekosten. Maar dit kan ook met een eigen configuratie in bestaande software zoals Sharepoint," zegt Geert Somers van Time Lex. "Het hoeft geen dure aangelegenheid te zijn. Maar in praktijk is het dat wel," stelt Marc Lambotte van Agoria. "Ondernemingen die de kennis niet in huis hebben, moeten bijvoorbeeld beroep doen op (dure) consultants om hen te begeleiden." Tata Consultancy Services raadt aan om te kijken welke bestaande tools een bedrijf al heeft. "Vaak zijn ze niet geïmplementeerd om alle systemen met persoonlijke data af te dekken. Een manier om kosten te besparen is dus om bestaande investeringen te hergebruiken in plaats van meteen voor nieuwe tools te gaan."

Soms blijft het wel proberen. Zo is er niet voor alles een kant-en-klare tool. "Veel zaken zijn vanzelfsprekend, maar bestaan gewoon nog niet. Zoals een goede uitdiensttreedprocedure om alle toegang van een werknemer af te nemen als hij of zij ontslag neemt of van afdeling verhuist," zegt Herman Maes, marketing technologist bij Intracto.

"Bedrijven in de B2B-sfeer en waar de persoonsgegevens vooral personeelsgegevens zijn, is het goed beheersbaar. Maar voor bedrijven die sterk doorgedreven met de GDPR te maken hebben (banken, pharma, ziekenhuizen, retail, direct marketing...) is het een zware en kostelijke voorbereiding," zegt Danielle Jacobs van Beltug. "De kost is lang niet alleen de externe kost door derden, maar ook de tijd van medewerkers in de voorbereiding en de sensibilisering."

De grootste misvattingen over GDPR

We vroegen ons expertenpanel ook de grootste misvattingen die ze over de nieuwe privacywet hebben gehoord.

Dat GDPR digitale marketing onmogelijk maakt, gelooft Herman Maes van Intracto niet. En ook: "Dat het iets voor IT is en dat bedrijven klaar zullen zijn met wat extra papierwerk, nieuwe contracten en een security audit." Ook Dany Delepierre, expert bij Accenture benadrukt dat. "GDPR heeft een impact op het volledige bedrijf en naast de technologische uitdagingen is er ook de organisatievorm, de kennis en vaardigheden van werknemers en de verschillende bedrijfsprocessen die het voorwerp van verandering kunnen zijn." Hij wijst onder meer op een doorgedreven bewustmakingsproces en adequate personeelsopleidingen.

"Een tool is geen oplossing om GDPR na te leven," klinkt het bij Siebe De Roovere, GDPR-expert bij ICT security consultancybedrijf Toreon. "Bedrijven die nu pas wakker schieten, hebben vaak een paniekreactie en hopen dat de aankoop van een privacytool er voor zorgt dat ze de wet snel kunnen naleven. A fool with a tool remains a fool. Bepaal eerst je tekortkomingen en compliance strategie voor je halsoverkop dingen aankoopt."

Jean-Pierre Bernaerts van DPOffice wijst er op dat de wetgeving ook nodig is voor bedrijven die zuiver in de B2B-sfeer werken. Iets waar ook Fabienne Lens van CTG op hamert: "Elk bedrijf dat persoonsgegevens verwerkt valt onder de wetgeving. Of het die informatie opslaat of niet."

Wegwijzers

Met dit dossier proberen we u wegwijs te maken in het traject naar GDPR-compliance. Maar verschillende organisaties hebben intussen hun eigen gids of stappenplan om u te ondersteunen.

  • Beltug heeft een vragenlijst die bedrijven kunnen voorleggen aan hun cloud service provider en sociale secretariaten. Daarmee kunnen ze nagaan in welke mate hun partner in regel is met de nieuwe wetgeving. De lijst is opvraagbaar bij Beltug op info@beltug.be.
  • Voor kleine en middelgrote bedrijven heeft het Center for Cybersecurity Belgium (CCB) samen met de Cybersecurity Coalition een GDPR CheckUp gelanceerd. Deze test kan u uitproberen op https://www.cybersecuritycoalition.be/gdpr-launching/.
  • GDPR-butler is een betalende tool die KMO's wil helpen met hun verplichtingen. De site biedt onder meer templates en ondersteuning voor kleine bedrijven die zich compliant willen maken. Afhankelijk van de formule betaal je hier 350 of 700 euro per jaar.
  • Technologiefederatie Agoria heeft zijn GDPR Compass. Een gids voor C-levels en verschillende bedrijfsafdelingen. Maar hier betaalt u wel €1.700 euro voor. www.gdprcompass.be.
  • Wil u de originele wettekst raadplegen? Dan kan dat op de website van Europa (document 32016R0679). Advocatenkantoor DLA Piper heeft diezelfde wettekst ook in een smartphoneapp voor Android en iOS gegoten onder de naam 'Explore GDPR'.