U bent GDPR compliant. En nu?

Een half jaar na de invoering van de GDPR lijkt de mediastorm rond de nieuwe Europese regelgeving voor databescherming eindelijk geluwd te zijn. Maar hoe kijken de bedrijven er achteraf gezien zelf tegenaan, en vooral: hoe moet het nu verder? Experts Peter Suykens en Jan Decorte van EY Law lichten toe.

EY Law is een strategische partner van EY en speelde als dusdanig een grote rol in de begeleiding van bedrijven naar volledige conformiteit met de GDPR. Dat was niet altijd makkelijk, blikken EY Law partner Peter Suykens en associate partner Jan Decorte vandaag terug.

“De GDPR heeft gelijkaardige emoties opgeroepen bij bedrijfsleiders als destijds de millennium bug”, lacht Peter Suykens. “Iedereen was bang van die 25ste mei 2018 maar toch zijn weinigen op tijd begonnen met de voorbereiding. Met als gevolg een enorme instroom naar het einde toe en natuurlijk een bottleneck.”

“Het zijn dan vaak ook behoorlijk arbeidsintensieve projecten”, geeft Jan Decorte toe. “Zo’n project vraagt een zeker budget en dat prijskaartje moet eerst verdedigd worden. Ook organisatorisch had het heel wat voeten in de aarde om conform te worden. Daar hebben velen zich wat aan mispakt.”

Peter Suykens: “Toen we verschillende projecten moesten uitstellen tot na de zomer omdat de toestroom te groot werd, hebben we de betrokken klanten gerust moeten stellen dat de wereld niet zou vergaan als ze op 25 mei niet volledig in orde waren.”

“En uiteraard is op 25 mei de bom ook niet gebarsten”, licht Jan Decorte toe. “Zelfs de Belgische Gegevensbeschermingsautoriteit is nog altijd niet volledig rond met haar eigen hervorming.”

Uiteraard is op 25 mei de bom niet gebarsten. Zelfs de Belgische Gegevensbeschermingsautoriteit is nog steeds niet volledig rond met haar eigen hervorming.

Monsterboetes

De gevreesde monsterboetes ziet Jan Decorte er dan ook niet meteen aankomen in België: “De GDPR had een transitieperiode van twee jaar voorzien tot 25 mei 2018. In theorie moest je tegen die datum volledig GDPR conform zijn. Maar in de praktijk blijkt daar in België toch wat rek op te zitten.”

“Ik denk dat je momenteel vooral moet kunnen aantonen dat je er ernstig mee bezig bent, dat je een degelijk strategisch plan hebt waarvan de uitvoering al enigszins is gevorderd, en dan zal het allemaal wel zo’n vaart niet lopen. Natuurlijk moet er niet meer getreuzeld worden. 25 mei ligt al ver achter ons en de Gegevensbeschermingsautoriteiten zullen zich steeds minder flexibel opstellen. Ik verwacht dan ook een gestage verstrenging vanaf 2019.”

Reputatie- & imagoschade

Volgens Jan Decorte schuilt het grote gevaar vandaag niet in monsterboetes, wel in mogelijke reputatie- en imagoschade: “Door de media-aandacht voor de GDPR zijn burgers zich bewuster geworden van het belang van hun privacy. Daardoor beoordelen ze een organisatie vaker op de graad van privacybescherming die ze biedt.”

“Een degelijk en transparant privacybeleid is een troef geworden die klanten aantrekt – en een laks privacybeleid een bedrijfsrisico dat publiek afgestraft wordt. Verlies van reputatie en imago kan leiden tot een economische schade die vaak onoverzienbaar, oncontroleerbaar en uiteindelijk geheel of gedeeltelijk onherstelbaar is. Dat is wat volgens mij vandaag op het spel staat”.

Het GDPR-effect

Gewone burgers herinneren zich de periode rond 25 mei vooral als de tijd waarin hun mailbox voortdurend volliep met GDPR-mails waarin hen uitdrukkelijke toestemming werd gevraagd voor verdere promotionele e-mails. Ook Peter Suykens had er last van: “Elke ochtend had ik minstens 7 van die e-mails in mijn mailbox zitten. Ik denk dat de meeste mensen die mails dan ook gewoon massaal hebben weg geklikt, zonder hun toestemming te geven voor verdere verwerking van hun gegevens.”

“Ik heb met een aantal klanten heel bewust afgesproken om die mail niet rond 25 mei te versturen, maar er enkele weken mee te wachten”, reageert Jan Decorte. “Dan was de kans immers groter dat prospecten de mail wel zouden lezen en dat ze wel hun toestemming zouden geven. Maar doordat prospecten die toestemming voortaan actief moeten verlenen, hebben veel bedrijven hun prospectenbestanden aanzienlijk zien slinken. Een algemeen percentage is moeilijk in te schatten, maar sommige van mijn klanten hebben tot wel 80% van hun prospecten verloren.”

“Is die terugval erg? Volgens sommige van mijn klanten niet noodzakelijk. Zij zagen de GDPR als een opportuniteit om eens grote kuis te houden in hun persoonsgegevens en niet langer tijd te verspillen aan prospecten waarvan ze wisten dat die toch niet meer reageerden Zo kunnen ze zich beter concentreren op – en gerichter communiceren naar – diegenen die wel reageerden en toestemming gaven om verder op de hoogte te worden gehouden over de producten of diensten van het bedrijf.”

“Er leefde in het begin echt een angst dat Europese bedrijven hier zwakker uit zouden komen ten opzichte van bedrijven op andere continenten. Die angst blijkt nu vaak ongegrond.”

Concurrentieel nadeel

“Maar die angst blijkt nu vaak ongegrond. Want je kan het ook omdraaien: wij leren nu al met die strengere regelgeving werken en zijn dus een voorloper op het vlak van een accuratere beschermende datawetgeving, die hoogstwaarschijnlijk vroeg of laat ook op andere continenten zal ingevoerd worden.”

Jan Decorte knikt instemmend: “We zien nu al dat het Europese voorbeeld van de GDPR in meerdere of mindere mate navolging begint te krijgen in andere regio’s en landen buiten de EU zoals bijvoorbeeld in China, Brazilië en India waar steeds meer regelgeving wordt geïnspireerd op de GDPR.”

“Er is echter een ander aspect dat volgens mij vanuit een zuiver economisch standpunt schadelijker kan zijn. Vroeger had de Europese Unie een privacyrichtlijn die elke lidstaat tot op een zekere hoogte zelf kon invullen, waardoor je wel tot 28 gelijkaardige licht verschillende privacy regelgevingen kon hebben. Dat betekende dat bijvoorbeeld een Amerikaans bedrijf dat in de EU een webshop wou lanceren, voor elke lidstaat moest nagaan of er wel beantwoord werd aan de lokale wetgeving. In dat geval moest de webshop lokaal aangepast worden, wat natuurlijk enorm veel tijd en geld kost.”

“Ik had gehoopt dat de GDPR die Europese handicap zou wegwerken. De GDPR is immers geen richtlijn maar een verordening: in tegenstelling tot een richtlijn is een verordening in principe rechtstreeks en op dezelfde wijze van toepassing in elke lidstaat. Dat leidt tot eenheid en vereenvoudiging. Wat dus betekent dat ons Amerikaanse bedrijf voortaan meteen op dezelfde wijze in heel de Europese Unie aan de slag zou kunnen.”

“Jammer genoeg zijn er toch weer allerhande uitzonderingetjes in de GDPR geslopen: lidstaten kunnen zelf een invulling geven die kan afwijken van die van een buurland. Bijvoorbeeld: de GDPR stelt de minimumleeftijd voor een geldige toestemming in tussen 13 en 16 jaar. Elke lidstaat mag binnen die marge zelf bepalen welke effectieve minimumleeftijd zij hanteert. Het blijft toch wel op een aantal vlakken een kluwen.”

What is next?

Is de kous dan af voor een organisatie die er voor heeft gezorgd dat het vandaag volledig GDPR conform is? “Integendeel,” zegt Peter Suykens, “het is niet alleen zaak om vandaag conform te zijn maar ook om morgen conform te blijven. De GDPR is dynamisch en zal op velerlei manieren het uitgestippelde privacybeleid van een organisatie blijven beïnvloeden.”

“Ten eerste zal de wijze waarop we de GDPR moeten begrijpen nu verder uitgediept worden door de rechtspraak of de standpunten van autoriteiten op Europees en Belgisch niveau. Principes die we in het verleden misschien wat te streng hebben toegepast, gaan we in de toekomst misschien kunnen versoepelen of omgekeerd.”

Anderzijds schrijft de GDPR voor dat bedrijven er zelf moeten over waken conform te blijven: het zogenaamde “privacy by design” houdt in dat telkens wanneer een bedrijf een nieuwe dienst of product lanceert, haar marketingstrategie wijzigt enz., het rekening houdt met de impact op de bestaande bescherming van de persoonsgegevens.”

“Een bedrijf zal dan een zogenaamde Privacy Impact Assessment moeten doen en de nodige technische, organisatorische en juridische maatregelen nemen om de bescherming ook in de nieuwe omgeving te garanderen. Dit betekent dus ook dat privacy een steeds belangrijker rol zal spelen in het kader van bijvoorbeeld fusies-en overnames van bedrijven.”

“Maar bovenal zal men voor blijvende awareness moeten zorgen bij het personeel. Een policy schrijven en die ergens op intranet plaatsen volstaat immers niet. Wij kunnen voor die awareness zorgen met opleidingen.”

e-privacy

Naast een evoluerende GDPR komt er bovendien ook een nieuwe regelgeving aan rond e-privacy. “Ook hier is het de bedoeling dat de bestaande e-privacy richtlijn vervangen wordt door een e-privacy verordening”, legt Jan Decorte uit.

“De e-privacy verordening gaat in essentie over de bescherming van persoonsgegevens via elektronische communicatiemiddelen en bevat onder meer ook specifieke regels met betrekking tot direct marketing via elektronische weg. Waar in eerste instantie telecomoperators werden geviseerd, richt de e-privacy verordening zich nu ook op alle bedrijven die één of andere vorm van elektronische communicatie diensten aanbieden of tools ontwikkelen zoals bijvoorbeeld tracking technologieën in het kader van direct marketing, etc.”

“De e-privacy verordening streeft naar meer eenduidigheid en vereenvoudiging in het belang van de consument met vaak strengere regels voor de betrokken bedrijven. Er is ook sprake van het geven van meer slagkracht aan de consument zelf bij het al dan niet aanvaarden van cookies, wat een grote impact kan hebben op de commerciële sector als dit er ook effectief doorkomt.”

Het kleine broertje van de GDPR had eigenlijk tegelijk met de GDPR gelanceerd moeten worden op 25 mei 2018. Maar dat is niet gelukt, zegt Jan Decorte: “Wanneer de e-privacy verordening er effectief komt, is momenteel koffiedik kijken. Maar ze komt er wel degelijk aan. Bedrijven moeten zich er dus op voorbereiden.”

Cybersecurity

Intussen werkt de EU volgens Jan Decorte ook naarstig aan een nieuw regelgevend kader rond cybersecurity en zal e-commerce veel aandacht blijven vragen: “E-commerce zal gestaag blijven groeien maar de wijze waarop zal voortdurend evolueren onder invloed van de pijlsnelle technologische ontwikkelingen – denk maar aan alle vormen van artificial intelligence – en de bescherming van de privacy, met alle juridische vragen en uitdagingen vandien. U ziet het: de komende jaren hebben we niet meteen tijd voor vakantie!”