Inmiddels weet iedereen het al: de wetgeving rond data privacy verandert voor het eerst in twintig jaar. Alleen vragen veel bedrijven zich af welke invloed die nieuwe privacywetgeving (GDPR) zal uitoefenen op kleine én grote schaal. Bloovi redactrice Magali De Reu peilde naar de visie van Matthias Dobbelaere-Welvaert, managing partner bij deJuristen die er op 1 juni De Privacyproef rond organiseert. Hieronder alvast een voorproefje van de verwachte impact van de nieuwe wetgeving.
Minder naïviteit, meer proactiviteit
Matthias windt er geen doekjes om: bedrijven zijn te lang naïef geweest. “Vaak zoeken bedrijven pas onze hulp wanneer ze al in de penarie zitten”, knikt hij. “Slechts een kleine minderheid handelt proactief - je moet maar eens lukraak aan een paar bedrijven vragen hoe ze met hun data omgaan. Waar die zich bevindt en hoelang ze gegevens bewaren? Je zal zien dat de meeste daar geen pasklaar antwoord op hebben. Maar kijk, die naïviteit kan je hen ook niet kwalijk nemen: algemeen erkent men de gevoeligheid van persoonlijke gegevens niet. Per slot van rekening heeft elk bedrijf een budget dat het liever spendeert aan marketing dan aan de nieuwe wetgeving (GDPR).”
“Bedrijven die hun beleid tegen 25 mei 2018 niet naar de hand van de GDPR-wetgeving hebben gezet, mogen zich verwachten aan fikse boetes”
Toch is die onschuldige goedgelovigheid binnenkort geen optie meer. Bedrijven die hun beleid tegen 25 mei 2018 niet naar de hand van de GDPR hebben gezet, kunnen mogelijk fikse boetes krijgen. “De GDPR is een kleuterschool,” grijnst Matthias, “en zonder die boetes had de Europese Commissie nooit die broodnodige bewustwording rond persoonsgegevens kunnen opwekken. Voorheen hadden organisaties uit verschillende landen de keuze om hun eigen richtlijnen op te stellen. Dat is nu voorbij.”
Het gros van de betrokken organisaties gelooft nog steeds blindelings dat GDPR vooral draait om hacking en datalekken. In wezen gaat het over transparantie, dus moet een bedrijf duidelijk communiceren wat het precies zinnens is met data van de desbetreffende gebruiker. Voor bedrijven betekent dat een doordachte aanpak, wat volgens Matthias een heuse uitdaging is.
“Dataverzameling is momenteel een beetje vergelijkbaar met ‘het Wilde Westen’”, lacht hij. “Plots wordt alles gereguleerd: de opt-in gaat gepaard met strikte voorwaarden en uitdrukkelijke vermeldingen waarvoor gegevens worden gebruikt. Marketeers die aan segmentatie willen doen, moeten hun doelpubliek daar uitdrukkelijk over informeren. Soms krijg je op bijvoorbeeld Facebook berichten die getarget zijn volgens je geboortejaar of -maand. Wel, voortaan moet de copy van zo’n post vermelden hoe en waarom die data van de gebruiker wordt aangewend. Qua aantrekkelijke copywriting is dat natuurlijk niet simpel.”
“We moeten de GDPR dringend als een USP beschouwen”
Op de vraag hoe bedrijven ervoor zorgen dat ze zich netjes aan de regels houden en dat elke afdeling ‘mee’ is, luidt het antwoord: alle verwerkingen van persoonsgegevens in kaart brengen. En die nadien liefst ook samenbrengen in één platform, zodat alle data gecentraliseerd is. “Momenteel is data overwegend versnipperd”, bevestigt Matthias. “Maar zodra je datastromen efficiënter maakt en gegevens op één enkele plaats verzamelt, kunnen alle medewerkers zomaar klantgegevens opvragen. En dat brengt opnieuw de privacy van het individu in gedrang. Een mogelijke oplossing is dat slechts één afdeling binnen een organisatie toegang heeft tot data. Bij de meeste ziekenhuizen is dat al het geval.”
Te efficiënt omgaan met data houdt dus ook een zeker risico in. Zeker omdat centralisatie voor kwaadwillige hackers de drempel verlaagt om toegang te krijgen tot erg gevoelige gegevens. Om die reden voorspelt Matthias dat het aantal ethische hackers sterk gaat toenemen. “Je ziet dat nu al door de stijgende populariteit van bijvoorbeeld Inti De Ceukelaire”, stelt hij. “Daar heb ik nog les aan gegeven en dat is een slimme gast met flink wat potentieel. Ethische hackers in het algemeen zullen volgens mij aan belang winnen en een meer legaal kader krijgen. Dat kun je een beetje vergelijken met cannabis (lacht).”
“Waarom zou je in hemelsnaam wegsteken dat je in overeenstemming bent met de nieuwe wet?”
In die zin is de GDPR natuurlijk een enorme troef. Volgens Matthias moeten bedrijven daar overigens uitdrukkelijk mee uitpakken en hun overeenstemming met de wet naar buiten brengen als USP. “Dan zit je op een website en dan zie je ergens tussen de kleine regeltjes in lettertype 6 dat organisatie X ‘GDPR compliant is’”, illustreert hij. “Waarom zou je dat in hemelsnaam wegsteken? Zeker de millennials van dit tijdperk hechten ongelooflijk veel belang aan privacy, dus kan je met de GDPR als USP je credibiliteit enorm vergroten. Je moet die belofte dan natuurlijk wel kunnen waarmaken.”
Impact op technologieën van de toekomst
Allemaal goed en wel: wat de impact op nieuwe technologische ontwikkelingen zoals het Internet of Things betreft, is het nog koffiedik kijken. Al voorspelt Matthias wel dat de verantwoordelijkheidszin van professionals, met name technologische profielen, enorm toeneemt.
“Als jouw koelkast morgen een fles melk bestelt en je persoonsgegevens meedeelt, dan moet die de GDPR natuurlijk respecteren”, vertelt Matthias. “Zo’n ding is en blijft een product, maar de dienst erachter en de mens die ervoor instaat moet de regelgeving respecteren. De automatisatie van processen en dienstverleningen wordt nog steeds gestuurd en ontwikkeld door een menselijke programmeur, dus hij draagt de verantwoordelijkheid. Het zal trouwens nog wel even duren alvorens een AI-toestel autonoom data kan verzamelen.”
“Zolang Europa als enige het voortouw neemt in privacybescherming, hebben we een onlosmakelijk verbonden concurrentieel nadeel.”
Ondanks de snelle opkomst van dergelijke vernieuwingen verwacht Matthias dat die innovatie echter een tragere opkomst kent. “Als een Amerikaans of Chinees bedrijf diens eigen robot wil lanceren in Europa, zal die plots aan flink wat voorwaarden moeten voldoen”, verklaart hij. “Dat zal een ellenlang productieproces worden met meerdere complexe situaties. Zolang Europa als enige het voortouw neemt in de privacybescherming, is er dus een onlosmakelijk verbonden concurrentieel nadeel. Daarom hoop ik dat de Amerikaanse consument op een dag de grote overheden stimuleert om een voorbeeld te nemen aan Europa. Dan zal er iets heel moois ontstaan.”
Meer weten over het wel een wee van privacy? Zak dan op 1 juni af naar Gent, waar deJuristen het event de Privacyproef presenteert. Elf topsprekers geven je er meer informatie over de verschillende luiken van privacy - van tech tot legal. Ook Matthias zelf is een van de sprekers.