Eind mei 2018 is het zover. Dan wordt de GDPR van kracht. De wat? De General Data Protection Regulation of de Algemene Verordening voor Gegevensbescherming. Als je er nog nooit van gehoord hebt, dan ben je niet de enige. En dat is volgens specialisten stilaan een probleem aan het worden.

Invloed van social media
De GDPR is een Europese maatregel die voortbouwt op de Data Protection Directive uit 1995, die niet meer aangepast was aan de moderne tijden. De GDPR moet ervoor zorgen dat bedrijven zorgvuldiger omgaan met data. Daniëlle Jacobs, directrice van Beltug, de associatie van Belgische technologieleiders legt uit: “Zeker sinds de komst van Facebook en Google was het nodig dat er aangepaste regels kwamen. Ondernemingen zijn nu, veel meer dan vroeger, in staat om op alle mogelijke manieren data te verzamelen en die te gebruiken om profielen op te stellen.”

Boete voor overtreders
Ons land heeft al enkele jaren een vrij strikte wet op de privacy die ook het verzamelen van data in regels probeerde te gieten. Het probleem was echter dat ons land geen stok achter de deur had om die regels afdwingbaar te maken. “Het klopt dat de GDPR op maar vier of vijf punten echt verschilt van onze privacywetgeving”, zegt Matthias Dobbelaere, ICT-jurist en managing partner van het Gentse kantoor De Juristen. “Alleen lag niemand echt wakker van onze wet. De grootste nieuwigheid in GDPR is dan ook dat er een stevige boete voorzien is voor overtreders. Die kan oplopen tot vier procent van de wereldwijde omzet, met een plafond van twintig miljoen euro.”

Geen gevaar voor persoonsgegevens
De GDPR-regels voorzien bijvoorbeeld dat organisaties burgers moeten informeren over hoe data verzameld en verwerkt worden, en wat ermee gebeurt. Op eenvoudig verzoek moeten data kunnen worden gewist, ook als de gegevens ondertussen bij derden zijn beland. Bovendien moet elke datalek binnen 72 uur worden gemeld, behalve als het duidelijk is dat er geen gevaar is voor de verzamelde persoonsgegevens.

 

De GDPR moet ervoor zorgen dat bedrijven zorgvuldiger met data omgaan Danielle Jacobs

 

Van multinational tot kleine zelfstandige
De regels gelden ook voor elk bedrijf dat met data omgaat, zowel van klanten als werknemers. Wat in de praktijk ongeveer elk bedrijf betekent. “GDPR geldt zowel voor een multinational als voor de slager om de hoek, als voor scholen en ziekenhuizen”, zegt Danielle Jacobs. “Al zullen de verplichtingen natuurlijk wel zwaarder zijn voor een multinational of een ziekenhuis dan voor een kleine zelfstandige.”

Sensibiliseren is noodzakelijk
Het besef dat dit belangrijke materie is, die héél binnenkort gaat opspelen, is er ook nog te weinig, aldus Jacobs. “Te veel bedrijven slapen nog.” Matthias Dobbelaere geeft regelmatig lezingen over GDPR om bedrijven en bedrijfsleiders te sensibiliseren, en dat is nodig. “Als ik vraag wie er mee bezig is, dan gaan er meestal maar een paar handen in de zaal de lucht in”, zegt hij. “Zeker kmo’s moeten wakker geschud worden. Bij grote bedrijven zie je vaak dat ze aan het rekenen zijn: wat kost het meeste? Ons compliant maken? Of afwachten en eventueel een boete betalen? Dat is natuurlijk niet de juiste ingesteldheid.”

Data inventariseren
Een van de moeilijkheden waar ondernemingen mee geconfronteerd worden bij het GDPR-verhaal, is dat het niet alleen over een juridische component gaat, maar dat er ook een heleboel ICT en technische zaken bij komen kijken. “Het eerste wat je moet doen, is inventariseren welke data je hebt, wie daar allemaal aan kan en waar die data naartoe gaan”, legt Jacobs uit. “Het basisprincipe is dat die data enkel kunnen worden bijgehouden mits toestemming.”

Diverse bronnen
Klantengegevens kunnen heel diverse bronnen hebben: online bestellingen, klantenkaarten, je webshop, noem maar op. Maar ook heeft je sociaal secretariaat bijvoorbeeld gegevens over je werknemers. Veel data zitten verspreid, werden uitbesteed en gaan heel ver. “Jij als ondernemer hebt daar de eindverantwoordelijkheid over”, zegt Jacobs formeel.

Adequate beveiliging
Naast het inventariseren is het natuurlijk ook belangrijk dat die data adequaat beveiligd worden. Dobbelaere zou zelfs zo ver gaan om een ethische hacker in te huren om te kijken of de beveiliging op punt staat. “Voor de slager om de hoek gaat dat te ver, maar voor een grotere kmo is dat zeker geen slecht idee. Het toont aan dat je je beveiliging echt wel serieus neemt.”