Over een luttele vijftien maanden verandert de GDPR je leven. GDP-wie? Een groot aantal heeft misschien nog niet veel gehoord over de General Data Protection Regulation (kortweg GDPR), maar cio’s en it-managers hebben nu reeds slapeloze nachten door dit acroniem. En samen met hen ook cfo's en ceo's.
Om bedrijven te helpen om GDPR-compliant te worden en te blijven, organiseerde SAS enkele dagen geleden een seminarie over dit thema. Computable.be kreeg input van Kalliopi Spyridaki, chief privacy strategist Europe bij SAS, over de belangrijkste zorgen met betrekking tot de GDPR, maar ook over de kansen die er uit voortvloeien. ‘De aanzienlijke inspanningen die van bedrijven verwacht wordt om GDPR-compliant te worden, zijn ook nuttig om een beter inzicht te krijgen in de gegevens die een onderneming bezit.’
Wat is GPDR precies?
Kalliopi Spyridaki: ‘De GDPR is een Europese verordening die de bescherming van onze persoonlijke gegevens versterkt, en die streng optreedt tegen bedrijven die onze privacy schenden. Enerzijds versterkt de GDPR onze rechten als klant om bijvoorbeeld inzage te krijgen in de persoonlijke gegevens die een bedrijf over ons bijhoudt. Ook kunnen we vragen aan bedrijven om onze gegevens naar een andere (concurrerende) organisatie te verhuizen, of zelfs om onze data volledig te verwijderen (het zogenaamde ‘recht om vergeten te worden’). Anderzijds wordt, door de GDPR, elk bedrijf verantwoordelijk voor de bescherming van onze persoonlijke gegevens. Hierin zijn inbegrepen: beveiligingsmaatregelen tegen data-inbreuken en gerelateerde verplichtingen wanneer een inbreuk plaatsvindt – bijvoorbeeld de noodzaak om snel de gepaste maatregelen te nemen om de risico’s te beperken, zoals het waarschuwen van alle betrokken personen en de relevante overheden. Organisaties die niet GDPR-compliant zijn, kunnen een boete krijgen die tot 4 procent van hun jaarlijkse wereldwijde omzet bedraagt.’
We horen toch vooral over de GDPR in de context van dreigingen en kosten die er mee gepaard gaan. Biedt de GPDR werkelijk ook nieuwe kansen?
‘De GDPR kan in eerste instantie wel lijken op een dreigend zwaard van Damocles voor elk bedrijf dat werkt met klantengegevens (en doen ze dat niet allemaal?). Maar ik ben ervan overtuigd dat de GDPR unieke businessopportuniteiten creëert voor ondernemingen om meer competitief te worden. Ook biedt de Europese verordening een ongeëvenaard innovatiepotentieel doordat ze nieuwe stimulansen creëert en een drijfveer vormt om de data-strategie van een bedrijf volledig te herzien, met alle voordelen die dit kan brengen in de huidige data-economie’.
‘Er zijn nu reeds talloze voorbeelden van innovatie geïnspireerd door de GDPR. Om een oplossing te vinden voor het probleem dat men toestemming moet vragen om persoonlijke gegevens te gebruiken bij bijvoorbeeld het monitoren van het shopping-gedrag van individuen in een winkel, heeft een analysebedrijf bijvoorbeeld ‘smart’-vloeren ontwikkeld die enkel voetstappen analyseren. Uit deze voetstappen kan met indrukwekkende nauwkeurigheid demografische informatie over de eigenaar ervan afgeleid worden (zoals geslacht, leeftijd en economische status). Hieruit kan je dan informatie afleiden over bijvoorbeeld het geslacht van de klanten of het aantal dat de winkel bezocht heeft, of de reactie van winkelbezoekers op bepaalde advertenties die in de winkel getoond werden. Dit is slechts één van de vele voorbeelden van hoe een bedrijf creatief kan zijn om de juiste balans te vinden tussen het begrijpen van klanten en het respecteren van hun privacy’, aldus de cps.
Ziet u nog andere positieve gevolgen van de GPDR?
Spyridaki: ‘De GPDR biedt ondernemingen ook de kans om zich te positioneren als privacy-ambassadeur in plaats van privacy als een noodzakelijk kwaad te zien. Hier komt een stevige dosis transparantie aan te pas: hoe meer je met je klanten communiceert over wat je doet met hun data, hoe groter de kans dat ze je zullen toestaan om hun gegevens te verwerken, omdat ze je vertrouwen. Transparantie is een win-win voor zowel klanten als bedrijven.’
U omschrijft de GPDR zelfs als een strategische kans voor elke onderneming. Kan u dit toelichten?
‘Het is eenvoudig: de aanzienlijke inspanning die van bedrijven verwacht wordt om GDPR-compliant te worden – het identificeren van welke gegevens over welke personen zich op welke locatie bevinden en deze vervolgens beschermen – zijn ook nuttig om een beter inzicht te krijgen in de data die een onderneming bezit. En daarmee bedoel ik dus alle gegevens, niet alleen persoonlijke data. De GDPR biedt aan bedrijven een drijfveer om hun data-strategie met een frisse blik te bekijken en om een meer robuust data management- en data governance-beleid te overwegen, voor al hun gegevens. Inzichten in deze data kunnen vervolgens gebruikt worden als basis voor strategische beslissingen, zodat je business-strategie gebaseerd is op statistiek, en niet op je zogenaamde buikgevoel.’
‘Toegegeven, de GDPR vormt een uitdaging voor ondernemingen tegen volgend jaar, wanneer de wet van kracht wordt. Ook in de jaren daarna is het een issue, aangezien GDPR-compliant zijn geen eenmalige oefening is. Maar als je je huiswerk gemaakt hebt, waarom zou je jezelf dan beperken tot gewoon compliant zijn: er liggen heel wat mooie kansen voor het oprapen’, besluit Spyridaki.