Verslag en foto's vriendendinner GDPR Fireside Chat

‘Did you say GDPR?’ Alles wat u over Dataprotectie wilde weten, maar nooit durfde te vragen…

De eerste Fireside Chat van De Hanze miste de gezelligheid van een knetterend haardvuur niet. Na een druk receptiemoment nemen we in de kelder van Crowne Plaza plaats aan tafel. De 4 panelexperten - Danielle Jacobs, General Manager Beltug; Adrien Willems, zaakvoerder van ADZ bvba; Kurt Callewaert, Lector HOWEST TI Computer & Cyber Crime en Jeroen Villé, Advocaat Leeward - nemen plaats met de mooi belichte historische muur op de achtergrond. Een ideaal kader voor onze fire chat om tegen de overblijfselen van deze 1.000-jaar oude stadsmuur het licht te laten schijnen over de complexiteit van de GDPR-realiteit. 

Als we het ooit nog over deze zitting zullen hebben - de kans is groter dan we vandaag denken - zal dat zeker zijn omdat het als ‘eye-opener’ gold, een soort early warning call, waarbij early ‘relatief’ moet gezien worden want de Europese verordening GDPR (of AVG: Algemene Verordening Gegevensbescherming) gaat eigenlijk op haar ‘kousevoeten’ al van kracht eind mei 2018. Koen Van Loo, Bestuurslid van de Hanze, opent als moderator de debatten. Zegt het getal 190 ons iets? Het is het aantal dagen dat ons rest (weekends inbegrepen) om onze IT en administratieve infrastructuren aan te passen aan deze verordening. 

Koen polst met een tweede vraag wie er eigenlijk al vertrouwd is met deze kreet van een letterwoord? De respons is vrij bescheiden. En dit doet toch wel enigszins de wenkbrauwen fronsen … Want GDPR is al bij al een zeer belangrijke verordening, die zonder adoptie in de nationale wetgevingen van de lidstaten, zomaar van kracht wordt. Nu, wat ook de oorzaak ervan weze, ergens moet de communicatie tussen wetgever en uiteindelijke betrokkene een beetje gemangeld hebben. En de boetes zijn niet mals. 

GDPR gaat dus over DATA, ‘ruwe gegevens’ die elke onderneming, elke economisch en bestuurlijke en sociaal agent, tot en met een petanqueclub die de gegevens van zijn leden registreert, nodig heeft om te functioneren.

Met name de persoonlijke data van natuurlijke personen worden door GDPR aan een vrij stringent keurslijf onderworpen. Je mag ze namelijk niet langer houden dan voorgeschreven is. En dat is meteen de ‘clue’ van het hele debat. 

Bovendien moet de term ‘data’ vrij ruim worden beschouwd. Zo zijn er niet alleen persoonlijke data van je klanten, maar ook die van je ‘suspects’ en ‘prospects’. Zelfs bezoekers die de publieke ruimte van je bedrijf betreden en die bijgevolg worden gefilmd: ook die beelden zijn persoonlijke data.  Vergeten we ook niet de gegevens van je personeel … Of zelfs van ‘bijna personeel’. Stel iemand heeft je zijn CV overgemaakt, je hebt het toevallig nog op je PC, maar de persoon is nooit daadwerkelijk aan boord gekomen. Ook hier is GDPR van toepassing.  

Nu, waarop moeten we eigenlijk letten? GDPR beschrijft dit vrij goed. Op de slide die Koen ons toont is dit goed weergegeven: zolang er een contractuele en of legale context, of een expliciete consent is tussen jou en je mede-actoren en je een zekere gegevensopslag nodig hebt, stellen zich eigenlijk geen problemen. Je hebt die gegevens gewoon nodig om je business te doen, punt aan de lijn. Het is wanneer die context er niet meer is, dat we voorzichtig moeten worden, zowel voor je gegevens in bestanden en databases, maar ook op opgeslagen documenten, pdf etc.  

Dit betekent niet dat indien bijvoorbeeld een contract (waarbij je gegevens opslaat) verloopt, je die gegevens onmiddellijk moet vernietigen. Enerzijds kan je ze nog nodig hebben en is soms archivering wenselijk of zelfs noodzakelijk (vb. voor bepaalde rapportering naar revisoren). Anderzijds kan je in bepaalde gevallen opteren voor anonimisering. Dat betekent grosso modo dat je niet meer de link kan leggen tussen de klantgegevens en de klant zelf, personeelslid etc.. Dit kan in ondernemingen soms handig zijn, bv. voor het aanleggen van vintage voor historische analyses, statistische modellen (waarmee de link naar AI ook meteen gelegd is), etc.    

Ondertussen heeft Koen ons voorgesteld aan het panel van vanavond en ze geven ons allemaal hun eigen kijk op wat GDPR betekent voor de ondernemingen en hoe we ons het best kunnen wapenen. Interessant hoe vanuit verschillende perspectieven tegen GDPR wordt aangekeken. 

In een wereld waarbij Data als een asset wordt beschouwd (‘correcte’ data wel te verstaan), zijn begrippen als cybersecurity om evidente redenen niet ver uit de buurt. De teneur van de bijdragen van alle panelleden op dit vlak pleiten dan ook voor waakzaamheid. Versturen we confidentiële gegevens via mail? Passen we onze paswoorden voldoende frequent aan? Zijn ze ‘lang’ genoeg, ‘creatief’ genoeg? Gooien we onze bedrijfsgegevens zonder het te beseffen niet te grabbel voor de hele ‘goegemeente’ zonder dat we ons daar van bewust zijn? De algemene shift naar de zogenaamde ‘cloud’ geeft aan de hele problematiek nog een zwaarder gewicht.

Bestaan er totaaloplossingen om GDPR aan te pakken? Het antwoord is er vooralsnog niet. En dat is niet verwonderlijk vermits het begrip data vrij ruim is (documenten, data in bestanden, al dan niet bewegende beelden enz.). De oplossing zal zich vermoedelijk situeren in een cocktail die mogelijks je systemen, je document management systeem, je archieven eens grondig bekijkt. 

Vandaar dat er gepleit wordt voor een West-Vlaamse pragmatische aanpak, gebaseerd op gezond (ondernemers-)verstand. Begin met een inventaris van de gegevens die ‘GDPR-kritisch’ zijn. Eenmaal je die op de radar hebt, neem je een beetje afstand en zoek je uit in welke processen en flows ze voorkomen en in welke informatieproducten (documenten, overzichten enz.) ze gebruikt worden. Eenmaal dit helder is, kan je de link naar de systemen maken (bestanden, documenten). Vergeten we ook niet even buiten het bedrijf te kijken: het kan zijn dat jouw gegevens buiten je bedrijf worden gebruikt. Dat betekent dat jij nog als controller verantwoordelijk bent en moet nagaan of de processor (die ze verwerkt) zijn deel van de GDPR-verbintenissen voor zijn deel neemt.

Kortom ‘start small and grow bigger’ gebaseerd op een groeiend bewustzijn dat onze (correcte) gegevens wel degelijk een deel van ons bedrijfspatrimonium zijn. 

Rijst de vraag hoe de uitvoerende en de rechterlijke macht zich gaan opstellen vanaf 25 mei? De opinies in de zaal zijn niet helemaal gelijklopend. Bepaalde strekkingen stellen dat het allemaal niet zo’n vaart zal lopen en de bevoegde instanties zich ook moeten ‘warmlopen’, t.t.z. niet onmiddellijk de grootste sancties zullen bovenhalen. Het spook van de grote boetes loert om de hoek, maar er is ook een gevoelige publieke opinie … 

Desalniettemin is het goed dat we ons als ondernemer altijd ‘voorzichtig’ opstellen, vermits een datalek (data-breach), het ongecontroleerd weglekken van belangrijke gegevens uit onze bedrijven, niet onmiddellijk goede publiciteit is en je als onderneming bijgevolg in de klappen kan delen indien betrokkenen hiervan het slachtoffer worden. 

GDPR is dus een opportuniteit om alles te inventariseren. Aan de slag! Zorg dat je gegevensflow in orde is. Beveilig het proces. Het verhaal van GDPR is lang nog niet ten einde. Wordt het geen tijd dat beroeps- en andere verenigingen hun communicatie wat versterken? De Hanze heeft vandaag een geapprecieerde voorzet gegeven. Koen heeft alvast op volgende link nog nuttige info voor ons bit.ly/dhgdpr

Bedankt Koen om dit onderwerp uit te werken. Dank ook Adrien om spontaan in te vallen.

Opgemaakt op: 21.11.2017
« Alle nieuws