Wat is de impact van de GDPR op onze economie?

 

Philippe De Backer: “Ik heb het ontstaan van de GDPR altijd gezien in de context van een eengemaakte Europese markt. Tot nu had ieder land immers zijn eigen privacywetgeving en controlemechanismen. Om daar van af te stappen heeft men beslist om via de GDPR de lat voor iedereen in Europa gelijk te leggen, zodat we kunnen komen tot een eengemaakte digitale markt.”

“De GDPR zorgt er bovendien voor dat heel wat bedrijven vragen beginnen te stellen over hoe ze met data moeten omgaan, waar die data zich bevinden, of ze goed beveiligd zijn en juist worden gebruikt,… Het is dus zeker een nuttige oefening die bedrijven doet nadenken over datamanagement en hoe ze dat kunnen optimaliseren.”

“Tot slot versterkt een correcte implementatie van de GDPR ook het vertrouwen tussen de consument en het bedrijf. In een digitale wereld is het immers cruciaal dat een consument er gerust op kan zijn dat een bedrijf zijn data correct zal behandelen. Uiteraard vraagt dat om een aanzienlijke investering. Het is een oefening die je met het hele bedrijf dient te doen en die deels om een nieuwe cultuur vraagt.”

Herwig Thyssens: “Bedrijven moeten de GDPR zien als een investering. Er kruipt wel degelijk heel wat tijd en geld in, maar eens men compliant is, zijn zowel het bedrijf als zijn klanten beschermd. Ook is het een manier om je strategisch te onderscheiden van diegenen die niet in orde zijn.”

Kurt Callewaert: “Door de hele digitalisering is het moment aangebroken om KMO’s te wijzen op het belang van investeringen in veiligheid en privacy. Een beveiligingsbeleid, IT-governance, enz. Het zijn allemaal termen waar men niet zo vertrouwd mee is. Daarom is het belangrijk dat wij hen begeleiden en aanleren hoe ze IT en veiligheid kunnen samenbrengen.”

Peter Verbeeck: “Dankzij de GDPR leren bedrijven de werkelijke waarde van hun data kennen. Tot nu was het voor een organisatie vooral belangrijk om de zaken vooruit te laten gaan. Niemand maakte zich zorgen over de data die daarvoor gebruikt werden. Toch is er in elke organisatie een berg aan data te vinden. Slechts een minderheid daarvan is echt nuttig, een ander deel is dubbel gebruikt, verouderd of gewoon triviaal, en meer dan de helft is zelfs data waarvan niemand weet wat er in zit.”

“In dat laatste gedeelte kunnen nog heel wat persoonsgegevens zitten die een organisatie in de problemen kunnen brengen wanneer ze gelekt worden of vergeten moeten worden. Door de GDPR zullen bedrijven nu verplicht zijn om alle data terug te brengen tot nuttige data, waardoor ze eindelijk de echte waarde van de data kunnen inschatten.”

Ingrid De Poorter: “Bovendien beseft men nu eindelijk dat data echt een asset kunnen zijn. Zolang men deze data op een rechtmatige manier verkregen heeft en goed gebruikt, opent dat heel wat mogelijkheden op het gebied van efficiëntie, kostenbesparingen en zelfs businessontwikkeling. De GDPR verbiedt de verwerking van persoonsgegevens niet, zoals velen ten onrechte vrezen. Het omschrijft de spelregels over hoe en op welke manier data kan worden gebruikt.”

Filip Champagne: “Het is eigenlijk jammer dat veel bedrijven hebben gewacht tot de overheid richtlijnen uitvaardigde om de security te verhogen. In feite komt het neer op een goede bedrijfsvoering, en dat doe je niet op basis van wat de overheid oplegt. Het goede aan de GDPR is dat alle bedrijven nu op hetzelfde niveau worden gezet, zelfs buiten Europa. Anderzijds komt deze investering uiteraard niet voor alle bedrijven op het juiste moment.”

David De Vos: “Desalniettemin wordt het een investering die hoognodig is. Investeren in een waterdicht veiligheidsbeleid kan je op lange termijn ook een besparing opleveren als je weet dat de boetes voor een datalek kunnen oplopen tot 4% van je jaaromzet."

 

Hoe staat het met de kennis van bedrijven (en hun IT-leveranciers) over de GDPR?

 

Kurt Callewaert: “KMO’s gaan vaak af op het advies van hun IT-leverancier en hebben daar vertrouwen in. Dat betekent dat deze leveranciers volledig up-to-date moeten zijn en over de juiste skills moeten beschikken. Is dat niet het geval, dan kunnen zij onmogelijk de noodzakelijke beveiliging inbouwen.”

Ingrid De Poorter: “Het verbaast me dat er nog steeds bedrijven zijn die zich er niet van bewust zijn dat de GDPR ook op hen van toepassing is. Zelfs bij B2B-bedrijven lopen persoonlijke data door hun organisatie heen (bijvoorbeeld van hun werknemers). Ook in deze processen dient de nodige toestemming te worden bekomen voor de verwerking ervan en moeten data op een beveiligde manier worden verwerkt.”

Erik Valgaeren: “Het kennisgehalte van de IT-leveranciers en providers over de GDPR zit ook nog niet altijd op hetzelfde niveau, het gaat immers over een uitgebreide regelgeving. Het bewustzijn groeit wel, maar veel bedrijven vergeten dat er eigenlijk al sinds 1992 een wetgeving bestaat waarvan de principes voor een groot deel gelijklopen met de GDPR. De GDPR brengt vooral een extra laag van verduidelijking en bescherming, en concretiseert wat er nu echt wordt verwacht van bedrijven. Het is echter zo dat de oude wetgeving slechts door weinigen echt werd geïmplementeerd. Veel bedrijven moeten zich bewust zijn dat ze dus starten met een achterstand.”

Mark Vandenwauver: “In vergelijking met de Verenigde Staten en Australië staan zowel grote als kleine firma’s in België ver achter voor wat betreft IT-security. Vaak worden zelfs de elementaire beginselen van risicobeheer niet in acht genomen. Het komt er dus op aan om echt iedereen mee te krijgen. Vooral de consument moet overtuigd zijn van het nut van deze wetgeving, want dat zorgt voor een druk waardoor bedrijven uiteindelijk toch moeten schakelen.”

David De Vos: “Het is goed dat ondernemingen zich dankzij deze verordening bewust worden van de risico’s. Security is namelijk iets dat in het algemene beleid aanwezig moet zijn. Als dat dan niet het geval is, dan zijn er ook weinig consequenties. Het beschermen van de burgers hun privacy is daarbij een goede beweging. Tot voor kort hadden gewone burgers geen slagkracht bij misbruik van hun persoonlijke data, ook omdat zij zelf geen kennis hebben over hun rechten. De GDPR plaatst het datagegeven centraal en maakt de gewone burger daardoor mondiger.”

Ingrid De Poorter: “Het belangrijkste wat de GDPR doet, is net het bewustzijn verhogen. Nog nooit is er zoveel discussie geweest over privacy en datamanagement als in de afgelopen paar jaar. Dat bewustzijn zal ervoor zorgen dat men veel bewuster omgaat met data en security. Het zal niet van vandaag op morgen gebeuren, maar men is er toch al mee bezig.”

Bruno Schroder: “Velen staan vooral stil bij de boetes en de impact van deze nieuwe wetgeving, maar eigenlijk is het gewoon de basis van een goed databeheer. We mogen de ‘R’ van GDPR dus zelfs weglaten: ‘General Data Protection’ is in feite de kern van de digitale economie. Bedrijven moeten streven naar de best practices qua databeheer en security.”

 

Welke rol kan de consument hierin spelen?

 

Philippe De Backer: “Veel consumenten weten gewoon niet wat er met hun data gebeurt. We moeten mensen daarom informeren over wat bedrijven met deze data doen. Zo kunnen ze dan betere keuzes maken over met welke bedrijven ze in zee gaan. We moeten hen ook tonen wat de consequenties zijn van bepaalde keuzes. De GDPR helpt alvast door de rechten duidelijk te stipuleren en afdwingbaar te maken. Zo krijgt de consument meer macht en zullen bedrijven zich automatisch moeten aanpassen.”

Peter Verbeeck: “We weten dat consumentenvertrouwen een positieve invloed heeft op de economie. Wanneer de data van de betrokkenen correcter is én indien hun toestemming op een juistere manier verkregen wordt, dan stijgt hun vertrouwen in die bedrijven. Maar het is aan de bedrijven om dat vertrouwen waar te maken natuurlijk.”

Filip Champagne: “De toegenomen macht van de consument is goed, maar het kan voor een stuk ook een negatief effect hebben. Zo denk ik aan het opstellen van profielen en prospectieve reclame, gericht aan mensen die je als bedrijf nog niet kent. Zullen we dan vooraf aan iedere consument toestemming moeten vragen om een gepersonaliseerde boodschap te mogen sturen? Het doel van zo’n gepersonaliseerde reclame is net om mensen minder te irriteren door enkel boodschappen te sturen die hen kunnen interesseren. Als dat door de GDPR niet meer kan, dan komen we in een vicieuze cirkel terecht die ervoor kan zorgen dat consumenten meer geïrriteerd geraken door commerciële boodschappen.”

Ingrid De Poorter: “Consumenten zullen zich meer en meer bewust worden van hun rechten op het gebied van privacy. Maar ook andere partijen zoals leveranciers, providers en werknemers zullen meer en meer hameren op het GDPR-compliant verwerken van hun data. Je ziet bovendien nu al dat grote spelers zoals hostingbedrijven dat als een unique selling proposal in de markt zetten.”

 

Kan de GDPR inderdaad ook voor problemen zorgen op het vlak van prospectie en reclame?

 

Erik Valgaeren: “Als bedrijf mag je bestaande klanten zeker op die manier contacteren. Het probleem is echter dat er een ongelofelijke handel bestaat in profielen en gegevens. Er is op dat vlak een groot gebrek aan transparantie, en dat moet worden aangepakt. Mensen worden vandaag aangesproken vanuit hoeken waarvan ze het niet verwachten. Als vuistregel kan je dus nemen dat er een probleem is met de GDPR wanneer de verwachtingen van klanten niet overeenkomen met hoe hun data worden beheerd.”

“Anderzijds brengt de GDPR zeker opportuniteiten met zich mee, maar vaak worden die niet juist gecast door de aanbieders van IT-security. Het komt erop aan om correcte proposities te geven en bedrijven niet te overdonderen met offertes die geen wettelijke basis hebben. Dat verwart bedrijven alleen maar. De overheid zou hierin een rol kunnen spelen door meer informatie aan te reiken.”

Philippe De Backer: “Het is inderdaad belangrijk dat er rond bepaalde zaken in de GDPR meer duidelijkheid komt. Wij zijn alvast het enige land in Europa dat een staatsecretaris voor Privacy heeft. Ook zijn we meteen gestart met de hervorming van de Privacycommissie, zodat deze actief kan worden binnen het kader van de GDPR. Het is immers de verantwoordelijkheid van die onafhankelijke commissie om op het vlak van de interpretatie en implementatie aan te geven waar de limieten liggen en hoe bedrijven zich in regel moeten stellen. Best gebeurt dat uiteraard gecoördineerd met de commissies van de andere landen, zodat er een uniforme toepassing komt over heel Europa. Lukt dat niet, dan moet de commissie zelf haar verantwoordelijkheid nemen.”

“Daarnaast hoeft de commissie ook niet over alle details duidelijkheid te geven. Bedrijven moeten voor een stuk ook zelf met oplossingen kunnen komen die zijn aangepast aan hun sector. Het is in dat kader belangrijk dat iedere sector samenzit en een handvest opstelt dat dan kan worden gevalideerd door de Privacycommissie. Ik roep sectoren op om dat te doen.”

David De Vos: “Vandaag is er geen methodologie voorhanden die aangeeft hoe bedrijven die niet voldoen aan de GDPR zich moeten transformeren om wel compliant te worden. Zeker bedrijven die een samensmelting zijn van meerdere bedrijven en bedrijfsstructuren worstelen hier mee. Het is een uitdaging voor hen om tot een consistent geheel te komen.”

Filip Champagne: “Bovendien zien mediabedrijven vandaag met lede ogen aan hoe sociale media zoals Facebook een alsmaar groter aandeel innemen. Zij gaan er immers van uit dat ze de toestemming hebben om mensen hun data te gebruiken, omdat iedereen bij het aanmaken van een profiel akkoord moet gaan met de algemene voorwaarden. Lokale media hebben die expliciete toestemming vaak niet, en dat zorgt ervoor dat grote bedrijven zoals Facebook er enkel maar sterker uitkomen.”

 

Hoe kunnen alle bedrijven gemobiliseerd worden om werk te maken van de GDPR?

 

Erik Valgaeren: “De mobilisatie dient breed te gebeuren, en de Privacycommissie moet daarin haar rol opnemen. Toch moeten ook de bedrijven, sectoren en overlegorganen stilaan in dezelfde richting bewegen. Nog te vaak denkt men vooral aan de eigen agenda. Er dient dus een eenduidige boodschap te komen van wat er verwacht wordt, zodat de ruis kan verdwijnen en de mobilisatie ook in dezelfde richting kan gebeuren.”

Kurt Callewaert: “Er is wel degelijk mobilisatie en veel bedrijven wonen bijvoorbeeld sessies bij rond de GDPR. Wanneer ze dan terug naar hun bedrijf gaan, stellen ze zich echter de vraag hoe ze er concreet mee aan de slag kunnen gaan. Het komt er dan vooral op aan de koe bij de horens te vatten en met de juiste partners rond de tafel te gaan zitten.”

Philippe De Backer: “De overheid probeert in eerste instantie via de beroepsfederaties duidelijk te maken dat de GDPR erg belangrijk is, dat bedrijven er echt wel mee aan de slag moeten gaan en dat dat heel wat tijd in beslag neemt. De komende maanden zullen deze inspanningen nog worden versterkt. Bovendien maken we duidelijk dat de deadline van 25 mei 2018 vaststaat: tegen die datum moet ieder bedrijf in regel zijn.”

“Ook de hervorming van de Privacycommissie zal tegen eind 2017 rond zijn. Vanaf dan zal heel duidelijk zijn hoe deze zal functioneren en welke sancties uiteindelijk zullen worden toegepast. Zo is er voorzien in een escalatiemechanisme voor de sancties en is er ook een bemiddelingsprocedure. De sancties zullen dus niet vanaf de eerste dag worden opgelegd, tenzij het gaat over manifeste inbreuken. Het doel is voornamelijk dat bedrijven compliant worden, en niet dat de schatkist wordt gevuld.”

Ingrid De Poorter: “Het is inderdaad voor veel bedrijven tijd om in actie te schieten. Daarnaast is het ook belangrijk om ondernemingen erop te wijzen dat, mits een pragmatische en gestructureerde aanpak, de implementatie niet perse complex, ingewikkeld of tijdrovend dient te zijn. Ook de voordelen en opportuniteiten moeten hierbij aan bod kunnen komen, zodat de implementatie van de GDPR door de ondernemingen en sectoren breed wordt gedragen.

Kurt Callewaert: “We merken bovendien dat er zich vanuit grote bedrijven die reeds compliant zijn stilaan een olievlek verspreid naar hun partners. Vaak betreft het KMO’s die onderaannemer of leverancier zijn van deze grote bedrijven. Om hun partnership en economische belangen veilig te stellen, is het dus erg belangrijk dat ook zij compliant worden, want die grote bedrijven zullen dat uiteindelijk van hen gaan eisen.”

Herwig Thyssens: “Helaas wordt het bewustzijn nog steeds voornamelijk gedreven vanuit een angst voor sancties, veiligheidsrisico’s en economisch verlies. Er zou meer moeten worden gefocust op wat de GDPR bedrijven kan opleveren. Door compliant te zijn, krijgt men immers meer bruikbare data, heeft men er meer controle over en zal de IT-ontwikkeling sneller kunnen gebeuren. Het is dus een investering die grote voordelen oplevert en bedrijven sterker kan maken.”

 

Hoe streng zal men in de praktijk ‘het recht om vergeten te worden’ toepassen?

 

David De Vos: “Het is vreemd en vaak tegenstrijdig met andere wetten dat men een beroep kan doen op het recht om vergeten te worden. Men is overigens zeer vaag over de uitvoering ervan. Bedrijven verwerken immers data op alle niveaus, en deze data zitten dan vaak ook nog eens in back-ups die soms maanden of jaren moeten worden bewaard. De vraag is wat uiteindelijk op korte termijn kan worden afgedwongen.”

Philippe De Backer: “Dat recht staat heel duidelijk omschreven en kan door de consument dus ook juridisch worden afgedwongen. De Privacycommissie zal hierover dus een richtlijn moeten uitvaardigen, en die kan dan eventueel worden aangevuld door de rechtspraak. Daarnaast kunnen de lidstaten nog steeds bepaalde keuzes maken omtrent bijvoorbeeld de minimumleeftijd voor sociale media, archivering en wetenschappelijk onderzoek. Hierover komt er voor het einde van het jaar nog een reglementering.”

Filip Champagne: “Als iedere lidstaat echter de richtlijnen op zijn manier kan interpreteren, dan komt het gelijke speelveld onder druk te staan.”

Philippe De Backer: “Op Europees niveau gebeurt er alvast heel wat coördinatie. Op enkele vlakken zal er echter onduidelijkheid blijven, en dan is het aan de nationale regulatoren om hun verantwoordelijkheid op te nemen. Ik ben het er inderdaad mee eens dat dat een risico tot versnippering inhoudt.”

 

En wat met gegevensdeling voor wetenschappelijk onderzoek?

 

Bruno Schroder: “Wetenschappelijk onderzoek is heel belangrijk voor de toekomst van onze economie. Als het delen van gegevens ook op dat gebied strikt aan banden wordt gelegd, dan zou dat nefast kunnen zijn en dreigt het onderzoek buiten Europa te worden gevoerd. Vaak vergt het nu al een zeer complexe procedure. Er zou dus een onderscheid moeten kunnen worden gemaakt tussen het commerciële en wetenschappelijke gebruik van gegevens.”

Philippe De Backer: “Inderdaad, naast de bescherming van de rechten van burgers moet er ruimte zijn voor onderzoek en innovatie. Er zal op dit vlak een nieuw evenwicht moeten worden gevonden dat toch het vertrouwen en de privacy van burgers niet schendt. Volgens mij moet dat absoluut mogelijk zijn binnen de GDPR.”

Herwig Thyssens: “De privacywetgeving mag geen excuus zijn om niets meer binnen Europa te doen, want dan worden we een verliezende partij. Het is ook een slecht excuus, want als je weet wat je doet, geeft het je meer controle over gevoelige data en zijn sommige digitaliseringen eenvoudiger om uit te rollen.”

Peter Verbeeck: “Toch is dat een reëel risico. Als internationale bedrijven het gevoel hebben dat ze in andere delen van de wereld gemakkelijker aan onderzoek kunnen doen omdat de regels rond gegevens daar minder strikt zijn, dan zullen ze dat ook doen.”

 

Kan de GDPR ook een invloed hebben buiten Europa?

 

Philippe De Backer: “Veel multinationals implementeren de GDPR wereldwijd omdat ze op die manier in geen enkel land nog problemen kunnen krijgen. De Europese GDPR wordt op die manier de wereldwijde standaard.”

Mark Vandenwauver: “Australië is hier het beste voorbeeld van. Zij hebben nu een voorstel ingediend om hun wetgeving gelijk te trekken met de GDPR. Veel Australische bedrijven zoeken hierdoor nu al naar manieren om GDPR-compliant te worden.”

Ingrid De Poorter: “De extra-territoriale werking van de GDPR is een juridische spitsvondigheid die we ook al in andere Europese en Amerikaanse regelgeving zagen opkomen. Het zorgt er voor dat onze Europese bedrijven geen concurrentieel nadeel oplopen ten aanzien van grote internationale spelers die niet in de EU zijn gevestigd.

Peter Verbeeck: “We merken inderdaad dat veel bedrijven in o.a. de VS en Australië de GDPR overnemen. Maar wat met al de IT-bedrijven die een hoofdzetel hebben in landen zoals India? Het is dan soms zeer moeilijk om de hoofdzetel te overtuigen om hier in mee te gaan.”

Philippe De Backer: “Aan de juridische kant zijn er de binding corporate rules, verdragen,… Aan de operationele kant zullen de nationale privacy commissies goed met elkaar moeten samenwerken om niet-Europese bedrijven die hier activiteiten hebben daarop aan te spreken.”

Erik Valgaeren: “Europa is een economische zone met veel hubs van grote buitenlandse concerns. Voor een deel is het de verantwoordelijkheid van de lokale mandatarissen om hun collega’s in de hoofdzetel te wijzen op de wetgeving. Vervolgens moeten die dan ook hun verantwoordelijkheid nemen. Doen zij dat niet, dan zal dat een invloed hebben op hoe ze in de toekomst in Europa zaken kunnen doen.”

Herwig Thyssens: “De GDPR geeft deze bedrijven alvast een duwtje in de rug om hun interne governance processen te volgen. Dat kan niet meer worden genegeerd door het niet-Europese management.”

Peter Verbeeck: “We zien dat er in België voor een stuk ook wordt gerekend op de invloed vanuit sectororganisaties, maar die hebben weinig vat op de hoofdzetel van internationale bedrijven.”

Erik Valgaeren: “We kunnen de vergelijking maken met het mededingingsrecht. Ook niet-Europese bedrijven hebben intussen begrepen dat het niet naleven van die wetgeving hen geld kan kosten, en net daarom hebben zij vaak in hun hoofdzetel specialisten ter beschikking rond het Europees mededingingsrecht. Laten we hopen dat zij in de toekomst ook GDPR-specialisten in hun hoofdzetel hebben.”