Vooral het behouden en vrijwaren van de privacy is daarbij zeer belangrijk. Gesprek met David Callebaut, managing partner bij Infosentry.

 

Wat houdt de GDPR precies in?
 

“De GDPR is in feite de verbetering van een reeds bestaande wetgeving. Velen zien deze wetgeving onterecht als ‘nieuw’ omdat ze nu een stuk strenger is dan de oude wetgeving. Zo kunnen er nu meer maatregelen worden genomen om bedrijven die in de fout gaan te straffen. Dankzij de GDPR krijgen gegevensbescherming en privacy sinds kort veel aandacht op managementniveau, maar eigenlijk hadden bedrijven hier al langer mee moeten bezig zijn.”

 

Kan de GDPR ook voordelen opleveren voor bedrijven?
 

“De GDPR zal zeker inspanningen vragen, waardoor veel bedrijven het verkeerdelijk zien als een kost. Naar hun klanten toe kan het echter ook worden aangeboden als een surplus. De laatste jaren zijn er immers veel gevallen geweest van ‘data breaches’, waarbij bedrijven volledig de mist in gingen en voor vele miljoenen euro’s aan gegevens verloren zagen gaan.”

“Indien je als bedrijf dus kan garanderen dat de gegevens die een klant achterlaat in goede handen zijn en beschermd worden tegen alle mogelijke vormen van misbruik, dan is dat een toegevoegde waarde die het vertrouwen verhoogt. Dat vertrouwen zorgt er dan weer voor dat het bedrijf meer omzet zal kunnen genereren.”

 

Zijn Europese bedrijven zo niet benadeeld ten opzichte van hun internationale concurrenten?
 

“De GDPR is dan wel een Europese wetgeving, maar vaak wordt vergeten dat zij een wereldwijde impact zal hebben. Ze is immers niet enkel van toepassing op bedrijven binnen Europa, maar ook op alle internationale bedrijven die in Europa actief zijn en hier diensten of producten leveren. Ook zij blijven dus niet buiten schot. Er is dus absoluut geen sprake van concurrentievervalsing. De bedrijven die conform willen zijn, zullen bovendien ook van hun partners en onderaannemers die gegevens verwerken moeten eisen dat ze zich in regel stellen met de GDPR.”

“Er zullen dus contractueel goede afspraken moeten worden gemaakt. Bovendien zullen deze partners en onderaannemers moeten kunnen bewijzen dat ze compliant zijn en kunnen ze worden onderworpen aan een controle. Dat is belangrijk omdat het bedrijf dat een contract heeft met deze partner of onderaannemer nog steeds verantwoordelijk blijft voor de correcte en veilige verwerking van de gegevens.”

 

Vanaf 25 mei is de GDPR van kracht. Zijn onze Belgische bedrijven voldoende voorbereid?
 

“De meeste bedrijven zijn er volop mee bezig en dus nog niet klaar. Heel wat bedrijven zullen moeten erkennen dat ze ook op 25 mei nog niet klaar zullen zijn. In theorie is dat een probleem, maar het is nu eenmaal typisch Belgisch dat bedrijven eerst wat afwachten. In feite hadden ze in 2016 al moeten beginnen, maar de meesten hebben tot midden en zelfs eind 2017 gewacht.”

“Gelukkig zien we wel dat heel wat bedrijven momenteel aan een inhaalbeweging bezig zijn. Ze focussen zich daarbij vaak op specifieke prioriteiten die door de Privacycommissie naar voren zijn geschoven als belangrijke aandachtspunten (bijvoorbeeld het Register van de Verwerkingsactiviteiten). Ook de Privacycommissie erkent trouwens dat de meeste bedrijven niet volledig klaar zullen zijn op 25 mei. Ze verwacht dat ook niet. Het belangrijkste is dat ze er alvast mee bezig zijn.”

 

Zal de GDPR geen einde maken aan gepersonaliseerde reclame en prospectie?
 

“Persoonlijk denk ik dat hier wat te veel paniek rond is ontstaan. Mensen hebben over het algemeen liever dingen die bij hen passen dan dingen die niet bij hen passen. Maar het is wel belangrijk dat mensen zelf kunnen kiezen of ze geprofileerd kunnen worden. Ik denk echter niet dat die keuze ervoor zal zorgen dat veel mensen zich hiervoor zullen uitschrijven. Het zorgt er immers voor dat ze vanaf dat moment voorstellen en reclame zullen ontvangen die voor hen helemaal niet interessant zijn.”

“Bovendien is het niet zo dat men voor direct marketing eerst toestemming zal moeten vragen aan iedere persoon die men iets wil sturen. De GDPR laat het wel nog toe om dat zonder toestemming te doen. Direct marketing valt volgens de GDPR immers onder het zogenaamde ‘gerechtvaardigde belang’ van een bedrijf. Maar ook dan moet men uiteraard in alle transparantie de mogelijkheid geven om zich uit te schrijven voor toekomstige berichten. De keuze wordt dus teruggegeven aan de gebruiker, in plaats van dat het bedrijf die keuze voor hen maakt.”

 

Zal de consument veel merken van de GDPR?
 

“In eerste instantie zal de consument er wel degelijk iets van merken. Zo zullen velen in de komende maanden de vraag krijgen van bedrijven of ze nog ingeschreven willen blijven op bijvoorbeeld hun nieuwsbrieven. Uiteindelijk zullen mensen vrij goed geïnformeerd zijn over hoe ze hun privacy kunnen controleren en beschermen. Dat zal uiteraard ook afhangen van persoon tot persoon. Maar op lange termijn zal het voor de meeste mensen niet zo heel veel impact hebben voor wat betreft hun dagelijkse leven.”

 

Wat beschouwt u als de grootste uitdagingen voor bedrijven met betrekking tot de GDPR?
 

“De grootste uitdaging is volgens mij het verplichte Register van de Verwerkingsactiviteiten. Bedrijven moeten weten waar de persoonsgegevens zich bevinden en hoe ze die gebruiken. In de meeste bedrijven is dat nooit centraal beheerd - iedere afdeling van het bedrijf vulde dit anders in. De GDPR verplicht hen nu wel om deze gegevens centraal te bewaren. Veel bedrijven ervaren het dus als een enorme uitdaging om uit te zoeken hoe ze hun organisatie hieraan kunnen aanpassen, zonder daarbij een impact te hebben op hun werking en doelstellingen.”

“Ook de contracten met partners zijn vaak nooit centraal beheerd geweest. Veel van deze contracten moeten echter door de GDPR worden aangepast of vernieuwd, of aangevuld worden met bijlages. Doordat men geen duidelijk zicht heeft op al die contracten, is ook dat dus een uitdaging.”