De GDPR verplicht alle bedrijven om nauwkeuriger om te gaan met persoonsgegevens. Maar hoe pak je dat concreet aan? Wat moet je wel doen, en wat vooral niet? Professor Dr. Ingrid De Poorter loodst haar professionele klanten al jaren langs de grootste valkuilen inzake privacy, en leek ons dan ook de geknipte persoon voor advies.
Ingrid De Poorter is naast doctor in de rechten en Professor aan de UGent ook managing partner van het Gentse advocatenkantoor De Groote De Man, dat vorig jaar nog door de Financial Times werd uitgeroepen tot het advocatenkantoor met het meest innovatieve product in Europa. Het kantoor heeft heel wat finance klanten in zijn portefeuille, en loodst financiële instellingen bijgevolg al jaren richting full compliance. Omdat het kantoor het afgelopen jaar steeds meer aanvragen ontving rond de GDPR van bedrijven uit andere sectoren, ontwikkelde het full service GDPR-pakketten. Met behulp van deze transparante pakketten kan iedere onderneming zelf kiezen hoe het de GDPR aanpakt. “Want”, zo zegt De Poorter, “de grootste valkuil bij GDPR compliance, is dat bedrijven het zichzelf veel te moeilijk maken.”
"De grootste valkuil bij GDPR compliance, is dat bedrijven het zichzelf veel te moeilijk maken."
Valkuil 1: ongegronde angst
“Veel bedrijven zijn bang geworden van de GDPR door alle heisa die er momenteel rond wordt gemaakt”, tracht De Poorter de gemoederen te bedaren.” De sancties zouden enorm zijn, het zou een complexe materie zijn en een loodzwaar proces. Dat is allemaal bangmakerij. De GDPR bevat niet voor niets termen als proportionate, appropriate, risk based approach en ga zo maar verder. Niet iedereen hoeft enorme aanpassingen door te voeren. Bedrijven die minder datagedreven zijn of bedrijven die weinig data bezitten, mogen een andere, misschien lichtere aanpak hebben dan erg datagedreven bedrijven zoals pakweg een Proximus.”
Valkuil 2: ver van mijn bed
Het is echter niet omdat jouw bedrijf niet datagedreven is, dat jij je helemaal niets hoeft aan te trekken van de GDPR, waarschuwt De Poorter: “Sommige ondernemingen denken dat de GDPR zich vooral richt op advocaten, accountants, banken … Dat is niet juist. Ook bouwbedrijven, de transportsector, noem maar op, moeten allemaal GDPR-compliant zijn. Die verwerken immers ook persoonsgegevens, bijvoorbeeld in het kader van HR-trajecten van hun personeelsleden. Ook personeelsbestanden en klantenbestanden moeten afdoende beveiligd worden. Een belangrijke nuance is hier opnieuw dat een minder risicovolle sector andere maatregelen mag nemen dan een gevoelige sector zoals een financiële. Maar er moeten wel maatregelen getroffen worden.”
"Ook personeelsbestanden en klantenbestanden moeten afdoende beveiligd worden. "
Valkuil 3: Startstress
“De meest gestelde vraag die ik van ondernemers hoor in het kader van de GDPR is: ‘Hoe gaan we hier in godsnaam aan beginnen?’ Terwijl het in wezen een erg projectmatige aanpak is. Eerst brengen we al hun data flows in kaart. Daarna werken we bottom up. Wat is hun meest risicovolle proces? Zo bouwen we een actieplan op en werken dat samen met hen punt voor punt af.”
In principe moeten al die maatregelen volgens Ingrid De Poorter geïmplementeerd zijn tegen 25 mei, de dag waarop de GDPR van kracht is. “Maar de meeste bedrijven zullen niet fully compliant zijn tegen die dag. Dat is niet erg. Het is wel belangrijk dat er tegen dan een actieplan op tafel ligt waarin de prioriteiten zijn vastgesteld: wat is het meest risicogevoelig binnen onze organisatie en wat gaan we dus als eerste aanpakken?”
Valkuil 4: einzelgangers
“Vaak merk ik dat de implementatie van de GDPR binnen een bedrijf door één departement getrokken wordt”, gaat Ingrid De Poorter verder. “Dan vragen ze ons bijvoorbeeld om een privacy statement op te stellen voor hun website, en verder niets. Dat kan natuurlijk, maar dat is volgens ons niet de juiste aanpak. Want wat met het contactformulier op uw website, of de nieuwsbrieven die men uitstuurt? Zijn die allemaal compliant? De invoering van de GDPR zal pas succesvol zijn als er sprake is van een samenspel tussen alle betrokken departementen: operationeel, legal, IT, marketing ... en als er een partner met kennis van zaken bij wordt betrokken.”
"De meeste bedrijven zullen tegen 25 mei niet fully compliant zijn. Dat is niet erg. Het is wel belangrijk dat er tegen dan een actieplan op tafel ligt."
“Zo komt het bijvoorbeeld meer dan eens voor dat een Business departement een nieuw project wil lanceren, maar dat Legal daar een stokje voor steekt omdat het niet mag volgens de GDPR-regels. Omdat de Business niet op de hoogte is van de GDPR, voelt dat departement zich vervolgens belemmerd door de regels. Terwijl de GDPR de business helemaal niet wil belemmeren. Integendeel zelfs. Europa heeft berekend dat de GDPR 2,3 miljard euro per jaar extra omzet zou kunnen opleveren voor bedrijven. Enerzijds doordat consumenten aan vertrouwen zouden winnen in bedrijven die GDPR compliant zijn, en dus eerder bij Europese bedrijven zouden kopen. Maar anderzijds ook omdat je als Europees bedrijf voortaan alleen nog maar met GDPR-compliant bedrijven mag samenwerken. Ik vermoed dat call centers in China of India zich niet zo snel naar de GDPR-richtlijnen gaan schikken. Dat is allemaal business die mogelijk naar Europa terug kan komen.”
Valkuil 5: uiteenlopende rechtsgronden
“Veel bedrijven denken dat er maar een beperkt aantal rechtsgronden bestaan om data te verwerken, en dat de GDPR die verder beperkt. Iedereen kent consent, de toestemming van een consument om zijn data te verwerken. Of je kan werken met een overeenkomst of een contract. Maar daarnaast bestaat ook het gerechtvaardigd belang. Dat betekent dat je een belangenafweging maakt tussen het voordeel dat een dataverwerking jouw onderneming oplevert en het nadeel dat die verwerking veroorzaakt voor het individu. Als het nadeel klein is en het voordeel groot voor de onderneming, dan mag je die data ook verwerken op basis van dat gerechtvaardigd belang. En dan mag je die data dus ook gebruiken voor bijvoorbeeld direct marketingdoeleinden, zonder toestemming te moeten vragen aan de consument. Wel is het hierbij belangrijk dat je die belangenafweging duidelijk vooraf documenteert in bijvoorbeeld de privacy policy en niet achteraf indien nodig een argumentatie in elkaar flanst.”
Weet u ook niet waar beginnen om full compliance te bereiken? Bekijk hier de GDPR-pakketten van advocatenkantoor De Groote - De Man, of neem meteen contact op voor advies op maat.