analyse

Wie is er bang voor de GDPR?

Over een kleine maand worden nieuwe Europese privacyregels van kracht. Ondanks de dreigende miljoenenboetes lijken weinig bedrijven of overheden daar klaar voor. De typisch Belgische pragmatiek overheerst.

Beste Pieter, de bescherming van je privacy vinden we bij (bedrijf X) heel belangrijk.’ De kans is aanzienlijk dat u de afgelopen weken soortgelijke mailtjes kreeg. Zelfs voor wie niet professioneel bezig is met privacy of databescherming begint het zo te dagen: er is iets op til rond uw persoonsgegevens. Op 25 mei moeten alle bedrijven en overheden die zulke gegevens gebruiken in lijn zijn met nieuwe Europese regels.

De toon van de mailtjes is bijna nederig. Voor een keer is dat geen marketingtruc. Iedereen is het erover eens dat de GDPR-regels (General Data Protection Regulation) de nieuwe wereldwijde privacystandaard zijn. Het centrale idee is dat u - als klant of werknemer - de controle behoudt over uw gegevens. Bedrijven en overheden hebben uw expliciete toestemming nodig als ze ermee aan de slag willen gaan. Dat verklaart meteen de mailtjes die u krijgt.

Voor bedrijven die dat nalaten, wachten monsterboetes: tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Die stevige sanctie, en het feit dat de verordening zo breed gaat, bracht het afgelopen jaar een ware angstpsychose op gang. Consultants en zelfverklaarde experts liepen zich de benen uit het lijf om bedrijven tot actie aan te zetten.

Informaticacomponent

GDPR

Met de General Data Protection Regulation gaan op 25 mei nieuwe verregaande privacyregels van kracht in de Europese Unie. Bedrijven en overheden die data van klanten of werknemers beheren, moeten aan een reeks verplichtingen voldoen.

Zo moeten ze een speciale ‘data protection officer’ aanstellen. Ze moeten in de meeste gevallen ook de expliciete toestemming hebben van hun klanten of werknemers voor het gebruik van hun data. Als die data verloren gaan bij een hack of lek, moet dat binnen 72 uur gemeld worden. Verder zijn er ook enkele procedurele eisen, waaronder het aanleggen van een dataregister. Bedrijven of overheden die hier niet mee in orde zijn, kunnen in het extreme geval boetes krijgen van 20 miljoen euro of 4 procent van de wereldwijde omzet. De privacycommissie stuurt wel aan op een milde aanpak.

Maar een maand voor het echt zover is, zijn weinig bedrijven of overheden in orde met alle aspecten van de nieuwe wet. Dat leert een rondvraag van De Tijd. Dat hoeft ook niet te verbazen. Een enquête van de technologiefederatie Agoria bij 250 bedrijven eind vorig jaar leerde dat de helft nog niet bekend was met de nieuwe wetgeving.

Door de complexiteit daarvan hebben experts er een hard hoofd in dat die bedrijven hun achterstand hebben bijgebeend. Zowel grote als kleine bedrijven hebben elk hun eigen uitdagingen. Kmo’s hebben zelden voldoende juridische expertise in huis en moeten hopen dat hun sectororganisatie bij de les is. Unizo schat dat slechts 15 procent in orde is. Grote bedrijven worstelen op hun beurt met datastromen buiten de Europese Unie of versnipperde data-architectuur door overnames.

Zelfs de overheid is niet klaar, erkent de Privacycommissie, de instantie die moet gaan controleren. Dat maakt dat de focus verschuift van het resultaat naar het proces. ‘De Privacycommissie gaf een pragmatisch signaal’, aldus Matthias Vierstraete, advocaat bij het bureau Laga en expert in de materie. ‘Als je als bedrijf al redelijke stappen ondernam, volgen waarschijnlijk geen boetes.’

25 mei wordt zo niet de big bang die iedereen vreest. Dat is voor een deel te wijten aan de stevige informaticacomponent die met de nieuwe regels gepaard gaat. De regels schrijven voor dat, voor zover dat past binnen andere wettelijke verplichtingen, klanten of werknemers te allen tijde hun gegevens kunnen inkijken, aanpassen of verwijderen. Zoiets vergt zowel een mentaliteitsswitch als een ingreep in IT-systemen, duidt Gert Beeckmans, de data protection officer (DPO) van de hr-dienstverlener SD Worx. De meeste bedrijven hebben vanaf 25 mei zo’n DPO nodig.

‘Zo’n vraag tot inzage van gegevens is altijd een proces, waar je de balans moet houden met andere aspecten. Je moet hr-managers daarop voorbereiden.’ Dat alle processen al voor 25 mei een digitale update krijgen noemt hij een ‘utopie’. ‘Je kan vertrekken vanuit een handmatige tussenoplossing en het komende jaar je IT-systemen bijsturen.’

Inhaalslag

Als je als bedrijf al redelijke stappen ondernam, volgen waarschijnlijk geen boetes.
Matthias Vierstraete
Advocaat

Verscheidene bedrijven geven daarbij prioriteit aan de meest datakritische onderdelen van hun organisatie. ‘We merken dat bedrijven focussen op de verwerking van klantengegevens, wat het meest visibele onderdeel is’, aldus Vierstraete. Dat de Privacycommissie zelf nog niet klaar is met haar omvorming tot Gegevensbeschermingsautoriteit speelt daarbij ongetwijfeld een rol. ‘De verwachting is dat die instantie vooral verder focust op bewustzijn en op basis van klachten handelt’, aldus Beeckmans.

De typische pragmatiek komt voort uit het feit dat België nooit de ijverigste leerling in de privacyklas was. Beeckmans, die bij SD Worx voor negen landen het GDPR-dossier regelt, merkt een striktere aanpak in Duitsland. ‘De aanstelling van een data protection officer was daar al langer een eis.’ Frank Socquet, GDPR-expert bij Unizo, ziet vooral een inhaalslag bij Belgische bedrijven. ‘GDPR is voor 85 procent herneming van eerdere wetgeving, waar veel bedrijven zich niet aan hielden.’

Wie nu nog moet beginnen kan nog inhalen, meent Vierstraete. Een goede eerste stap is het opstellen van het dataregister: welke afdeling gebruikt welke gegevens voor welke redenen? Een brede blik is daarbij nodig. Iedereen gebruikt data, tot de persoon die toegangsbadges regelt toe. ‘Zo krijgen we veel hr-vragen. Mag ik nog aan camerabewaking doen? En hoe zit het met de monitoring van internetverkeer?’ merkt Thomas Van Gremberghe van Agoria op.

Het is met andere woorden een brede oefening in bedrijfshygiëne, zowel intern als extern. Maar die kan ook opleveren, merkt Vierstraete op. ‘Waarom doe je met data wat je doet? Dat kan een businessopportuniteit zijn.’ Vraag dat maar aan Facebook, dat groot werd dankzij data. Bij zijn wijzigingen voor de GDPR vroeg het en passant uw fiat voor gezichtsherkenning. Er valt iets uit te leren.

Kmo's moeten goede wil tonen

De kleine en middelgrote ondernemingen hinken duidelijk achterop in de voorbereiding op de GDPR. De overheid belooft een geleidelijke aanpak.

De achterstand van kmo’s is ergens begrijpelijk: het zijn vaak bedrijven die geen of weinig digitale activiteiten ontplooien. En als kleine ondernemer ben je nu eenmaal met duizend andere dingen bezig. ‘Zowel grote als kleine bedrijven hebben de nieuwe wetgeving lang genegeerd, maar de groten kunnen er nu speciale teams op zetten om alles snel in orde te brengen. Kmo’s kunnen die tijdsinvestering moeilijker opbrengen en ze hebben ook minder kennis in huis’, zegt Frank Socquet, GDPR-expert bij de ondernemersorganisatie Unizo.

Toch merken ze ook bij Unizo dat hun leden wakker zijn geschoten. ‘Onze infosessies zaten de jongste maanden vol, met soms tot 200 deelnemers.’ De organisatie zette ook een ‘zelfscan’ op zijn website waarmee bedrijven kunnen nagaan hoe klaar ze zijn voor de nieuwe regels. Op basis van het gebruik van die tool schat Unizo dat amper 15 procent van de kmo’s al klaar is, en dat 40 procent nog min of meer van nul moet beginnen. Als de schrik ergens toeslaat, is het dus vooral bij de kleine ondernemers.

Terecht? Ja en nee, zeggen experts en de overheid. De boodschap is dubbel: in de eerste maanden na 25 mei zal zeker nog niet overgegaan worden tot zware sancties, maar kmo’s moeten intussen wel tonen dat ze moeite doen om zich in orde te brengen.

De GDPR-wetgeving voorziet niet in uitzonderingen voor kmo’s, maar staatssecretaris voor Privacy Philippe De Backer (Open VLD) gaat in de Belgische kaderwet wel expliciet vermelden dat de nadruk in een eerste fase moet liggen op begeleiding van ondernemers. Maar dat is geen vrijgeleide om niets te doen. ‘Wie niet horen of leren wil, zal zeker voelen’, aldus De Backer.

Unizo ontwikkelde enkele online tools om uw onderneming te screenen en te helpen bij de nodige aanpassingen.

www.unizo.be/privacy

Lees verder

Gesponsorde inhoud

Partner content