“Sommigen zijn als een kip zonder kop op GDPR gevlogen. Tijd om nuchterheid te brengen.”

oktober 2018

“Sommigen zijn als een kip zonder kop op GDPR gevlogen. Tijd om nuchterheid te brengen.”

De nieuwe Europese privacywetgeving (GDPR) is sinds een half jaar in voege. Toch worstelen veel organisaties nog met de praktische invulling ervan. Moet je echt opnieuw toestemming vragen om een nieuwsbrief naar je klanten te sturen? En wat moet er nu precies in die privacyverklaring staan? IT-management consultant Serge Moreno en jurist Tom Devolder scheppen klaarheid tijdens de vijfdaagse opleiding ‘Data Protection Officer’.

GDPR, wat is dat nu ook alweer?

Tom: “GDPR staat voor General Data Protection Regulation. Het is een Europese verordening waarin beschreven staat hoe je als bedrijf of overheid op een correcte manier met gegevens van personen moet omgaan. Zo’n wetgeving is niet nieuw. In België kennen we sinds 1992 de Privacywet.  De eerste keer dat Europa dergelijke regels formuleerde, was in 1995. Het grote verschil – en meteen ook de reden waarom er nu zoveel deining is – is dat de nieuwe regels sterker afdwingbaar zijn. Wie de wetgeving niet naleeft, kan daarvoor serieuze boetes krijgen, wat in het verleden niet het geval was. De Gegevensbeschermingsautoriteit (sinds 25 mei de nieuwe naam van de Privacycommissie, nvdr) kon wel klachten doorgeven, maar in de praktijk vervolgde het parket zelden of nooit.”


Voor welke organisaties is GDPR van tel?

Serge: “Voor alle duidelijkheid: al wie op een of andere manier met persoonsgegevens bezig is, valt onder de nieuwe regelgeving. Zelfs KMO’s en zelfstandigen ontsnappen niet, aangezien zij over gegevens van klanten, leveranciers of personeel beschikken. Voor de meeste kleine ondernemingen en de B2B-bedrijven zal de toepassing van GDPR weinig veranderingen met zich meebrengen. Algemeen kun je stellen dat hoe meer risico’s er aan de data vasthangen, hoe groter de impact van GDPR zal zijn. Zo zal een bank veel meer garanties moeten inbouwen dan pakweg een loodgietersbedrijf.”


Wat zullen de deelnemers tijdens de opleiding leren?

Tom: “Het voorbije jaar zijn nogal wat organisaties als een kip zonder kop op GDPR gevlogen. Vele hadden de indruk dat ze voor alle gegevens opnieuw toestemming moesten vragen, met onder meer een tsunami aan e-mails als gevolg. Met deze opleiding willen we nuchterheid brengen. Wat vraagt GDPR wel en wat helemaal niet? Waar zitten de echte problemen en risico’s, en hoe pak je die aan? Ikzelf focus op de juridische kant van het verhaal. De cursisten zal ik leren om aan de hand van een stappenplan een eerste juridische analyse voor hun organisatie te maken. Mag je die gegevens wel verwerken? En zo ja, welke waarborgen moet je inbouwen?”

Serge: “In het tweede deel zullen we het over de praktische toepassing van de GDPR-wetgeving hebben. Welke security-maatregelen moet je nemen? Welke processen in je organisatie zullen invloed ondervinden?  Hoe zet je een dataregister op? Welke bijkomende procedures moet je voorzien om conform de nieuwe wetgeving te werken? Wat doe je als iemand vraagt om zijn gegevens te schrappen? Hoe ga je om met datalekken?”


Hoe hebben jullie zelf die expertise opgebouwd?

Serge: “Problemen oplossen, advies geven, op risico’s wijzen: het is zowat de rode draad in mijn carrière in de IT. In mijn eerste jaren heb ik op de IT Support-afdeling gewerkt. Later ben ik IT Auditor geworden, om uiteindelijk in 2000 een rol als Information Security Officer op de nemen. Ik heb die functie in verschillende organisaties vervuld, onder meer ook bij een bedrijf uit de retail, waar privacy extreem belangrijk is. Daar heb ik onder andere geleerd dat je persoons- en aankoopgegevens best in aparte databases bijhoudt. Want vraagt er iemand om zijn gegevens te verwijderen, dan kun je daar heel makkelijk op ingaan. Sinds 2017 ben ik aan boord bij Delaware en ga ik langs bij bedrijven die vragen hebben rond IT management, security & privacy. Onvermijdelijk gaat het daarbij ook over GDPR.”

Tom: “Ik ben gedurende 12,5 jaar advocaat geweest en heb in die periode heel veel klanten in IT begeleid. Vaak kwamen ze bij mij terecht voor juridisch advies rond privacy. Anderhalf jaar geleden heb ik de stap naar de consultancy gezet en sindsdien ben ik bijna uitsluitend met GDPR bezig geweest, vooral met de meer complexe vraagstukken.”


Maak eens de balans op. Hoe ver staan bedrijven vandaag al met GDPR?

Serge: “Dat bedrijven security en privacy au sérieux zijn gaan nemen, is duidelijk. Toch voel ik bij veel klanten ook nog enige aarzeling. Zolang er geen echte sancties worden gegeven, kijken velen de kat uit de boom. Tot 25 mei, de dag waarop de verordening officieel van kracht werd, kregen we bij Delaware veel vragen. Daarna was er een terugval.”

Tom: “Dat kan ik alleen maar bevestigen. Sommige bedrijven hebben de wetgeving tot in detail geïmplementeerd, andere zijn ermee begonnen en laten het nu wat aanmodderen. Een derde groep heeft nog helemaal niks ondernomen. Zij hebben ervoor gekozen om het risico te nemen. Wellicht gaan ze ervan uit dat de sancties toch niet zo ingrijpend zullen zijn. Staatssecretaris Philippe De Backer heeft dat een beetje in de hand gewerkt door te zeggen dat bedrijven geen heksenjacht moeten vrezen.”

Serge: “Ik zie nog een vierde categorie van bedrijven: zij die naar buiten toe laten uitschijnen dat ze in orde zijn, maar die intern geen procedures hebben voorzien. Als je die bedrijven een mailtje stuurt met de vraag om je gegevens te verwijderen, dan krijg je geen helemaal geen reactie. Het zijn bedrijven die de façade hebben opgetrokken, maar niet de achterbouw.”  

Tom: “Bedrijven moeten goed beseffen dat niets doen sowieso een risico inhoudt. Je kan niet alleen problemen krijgen met de Gegevensbeschermingsautoriteit, ook concurrenten of klanten zouden wel eens de kat de bel aan kunnen binden.”


 

In de aanloop naar 25 mei zijn er heel wat mailtjes verstuurd met de vraag om opnieuw toestemming te geven voor een mailing. Was dat nodig?

Tom: “Nee, de meeste van die mails waren totaal overbodig. Wie een contactformulier invult of zich voor een nieuwsbrief inschrijft, geeft toestemming om in een database te staan. Aan hen moet je het niet opnieuw vragen. Ook klanten mag je zonder expliciete toestemming aanschrijven. Daar is de Gegevensbeschermingsautoriteit heel duidelijk over. Hoe kun je anders je business laten draaien? Bedrijven hebben heel fel op die nieuwsbief gefocust, maar als je hen vraagt hoe ver ze met de bescherming van personeelsgegevens staan, vallen ze compleet uit de lucht. Nochtans zijn de risico’s daar vaak vele malen groter. Van medewerkers hebben ze immers ook financiële en soms zelfs gezondheidsgegevens.”


Hoe zien jullie het verder evolueren?

Serge: “Privacy is een blijver, dus ik ga ervan uit dat bedrijven er meer en meer van aan de basis rekening mee zullen houden. In een ideale wereld leggen bedrijven telkens wanneer ze nieuwe systemen of procedures in het leven roepen de link met privacy en halen ze er hun Data Protection Officer bij. Privacy by design is volgens mij de enige logische evolutie. In andere sectoren zie je dat ook. Aan een autofabrikant bijvoorbeeld moet je niet vragen om een rem te installeren. Hij doet dat sowieso. Bij privacy zou dat ook zo moeten zijn.”


Start: donderdag 13 december 2018
Duur van de opleiding: 5 dagen, telkens van 9 tot 17u (inclusief lunch)
Locatie: Auberge du Pecheur, Sint-Martens-Latem
Toelatingsvoorwaarden: Geen vooropleiding vereist. De training is bedoeld voor al wie professioneel met privacy en security bezig is.
Lesgevers: Serge Moreno (Delaware) en Tom Devolder (Intelex)

Lees hier alles over de opleiding tot Data Protection Officer (DPO)

Dit artikel werd geschreven in opdracht van Amelior.


Lees hier andere artikels van deze auteur...

Contacteer de auteur...

Tags

GDPR

Op de hoogte blijven van onze opleidingen?

Schrijf je in op onze nieuwsbrief

Recente blogs