Waar staan we na zes maanden GDPR?
Een half jaar nadat de wetgeving over de gegevensbescherming op 25 mei 2018 bindend werd, geven Beatrijs Tack, Expert GDPR (General Data Protection Regulation), en Gunter Geysen, Director verantwoordelijk voor GDPR-projecten binnen Capco België, hun bevindingen uit de praktijk.
Gegevensbescherming: een complexe aangelegenheid, maar niet helemaal nieuw
In 1995 werd de EU Data Protection Directive opgesteld. Toen al leefde de vraag om beveiligingsmaatregelen te implementeren die de bescherming van gegevens waarborgt. In april 2016 ging de AVG wetgeving (Algemene Verordening Gegevensbescherming) van kracht die in mei van dit jaar met de GDPR bindend werd.
“Sindsdien zijn de meeste bedrijven zich bewust van het belang van het implementeren van gegevensbeveiliging. Toch werkt de implementatie van de AVG-wetgeving in ons land nog niet altijd even succesvol. De praktische toepassing van de regelgeving is vaak niet eenvoudig, vooral kleinere bedrijven durven al eens met vragen blijven zitten”, zegt Gunter Geysen van Capco, een internationaal management- en technologie adviesbureau gericht op de financiële dienstverlening en digitale transformatie.
GDPR: een noodzakelijk kwaad voor de KMO?
Gunter Geysen: “KMO’s hebben hun best gedaan om zich zo goed mogelijk in orde te stellen met de GDPR. Maar het ontbreekt hen vaak aan tijd, kennis en visie om er verder prioriteit aan te geven. Bedrijfsleiders van KMO’s ervaren de GDPR eerder als een last die hen weinig bijbrengt. Nu de regelgeving bindend is, zijn ze zich wel degelijk bewust van het belang van een correct beheer van de persoonlijke gegevens die in hun bezit zijn, maar ze zien minder snel de positieve kant van het verhaal: hoe de GDPR kan aangewend worden om gegevens op een betere manier te organiseren en te gebruiken.”
“Vanuit hun standpunt bekeken is dat te begrijpen. KMO’s met beperkte middelen kijken in eerste instantie naar projecten die hen financieel iets gaan opleveren. En zo komt GDPR op de achtergrond”, voegt Beatrijs Tack eraan toe.
“Capco België is zelf een kleine organisatie. Vroeger gingen wij ook op een gedecentraliseerde manier met persoonlijke gegevens om. Wij hebben zelf de oefening gedaan en gegevens op één beveiligde plek ondergebracht, één drive, met één persoon die ze beheert. Dat is zoveel efficiënter en veiliger”, getuigt Gunter Geysen.
Compliance
Beatrijs Tack: “Inbreuken op persoonsgegevens kunnen een aanzienlijke invloed hebben op de reputatie en het vertrouwen van klanten en consumenten. Bedrijven en organisaties implementeren de AVG dan ook vooral uit motivatie om te voldoen aan de verwachtingen van hun klanten dan uit angst voor boetes.”
Spelregels zonder scheidsrechter
Gunter Geysen stelt dat er op dit moment nog geen actieve controles zijn op de naleving van de AVG-wetgeving in België en er ook nog geen boetes worden uitgeschreven. “Dit is hoofdzakelijk te wijten aan het feit dat de structuur van de Belgische Gegevensbeschermingsautoriteit (GBA) en de benoeming van de directeuren nog niet is afgerond. In Frankrijk, het VK en Nederland vindt er wel al een actief toezicht plaats. Daar wordt bijvoorbeeld al gecontroleerd of er een register van de verwerkingsactiviteiten bestaat en of er een Data Protection Officer - een functionaris voor gegevensbescherming - is aangesteld in bepaalde bedrijven.“
Is er nood aan een GDPR-certificaat?
Toch zijn heel wat bedrijven en organisaties overtuigd dat de AVG een positief effect heeft of zal hebben. “Bedrijfsleiders zouden graag kunnen aantonen dat de AVG in hun bedrijf wordt nageleefd door middel van een GDPR-certificaat. Nu bestaat dit nog niet”, stelt Beatrijs Tack. “Een bedrijf zal trouwens nooit voor 100% GDPR compliant zijn. Dat is haast onmogelijk.”
“Van zodra er controles zullen uitgevoerd worden, zou een certificaat wel motiverend werken en als publiciteit of label kunnen worden gebruikt door bedrijven. Al was het maar als bevestiging voor het bedrijf in kwestie dat het op vlak van GDPR goed bezig is. Maar die certificaten zouden na enkele jaren herbekeken moeten worden”, vult Gunter Geysen aan.
GDPR vraagt continu aandacht
Bedrijven en adviesbureaus zijn actief op zoek naar medewerkers die de vereiste competenties, vaardigheden en liefst nog ervaring hebben op gebied van gegevensbescherming en informatiebeveiliging.
Beatrijs Tack: “Een Data Protection Officer moet op alle niveaus in de organisatie kunnen werken aan de implementatie van gegevensbeschermingsmaatregelen. Organisaties moeten beseffen dat de naleving van de AVG geen eenmalige oefening is, maar continu aandacht verdient. Veel organisaties hebben echter moeite om de juiste middelen te vinden om dit in hun bedrijfsstructuur te integreren.”
“Langs de andere kant zou de lokale Gegevensbeschermingsautoriteit nu proactief moeten toezien op de naleving van de AVG en ook rapporten moeten publiceren. Maar zover zijn we dus nog niet”, besluit Gunter Geysen.
Stel een vraag
aan een specialist
Heeft u vragen? Wij helpen u graag verder.
Ook interessant
Voordeel van alle aard van een bedrijfswagen is verhoogd
Een bedrijfswagen is onderworpen aan specifieke sociale en fiscale regels. Het voordeel...
Wat met de intellectuele eigendomsrechten bij een due diligence?
Heeft jouw kmo plannen om een andere onderneming over te nemen? Dan behoort een due dil...