Als heetste hangijzer in de it mocht een debat over GDPR in het Computable Café niet ontbreken. Zijn we ‘on track’? En welke basisstappen moeten bedrijven nemen om compliant te worden? Debatteerden mee met moderator en Computable hoofdredacteur William Visterin: Dimitri Maesfranckx van Datalumen, Danielle Jacobs van Beltug, George Ataya van Solvay en staatssecretaris Philippe De Backer.
Volgens de staatssecretaris zijn we in ons land behoorlijk ‘on track’ wat compliance betreft, is dat ook jullie gevoel?
Danielle Jacobs: ‘Het is een divers beeld, een aantal bedrijven, vooral de hele grote dan, zijn zeker goed voorbereid, maar toch krijgen we er ook nog elke week veel vragen over. Dat duidt enerzijds op veel goede wil, maar ook nog op onwetendheid. Voor echt hele kleine bedrijven is het nog niet te laat als je er nu nog aan moet beginnen. Voor grotere organisaties ligt dat toch wel anders, denk ik. Wij bij Beltug zijn met vijf mensen, niet meer dan een kleine kmo, maar de hoeveelheid werk dat wij al in GDPR hebben gestoken, is toch niet min, hoor.’
Dimitri Maesfranckx: ‘Ik denk dat het ook over meer gaat dan enkel die deadline in mei. Ik zie het meer als een evolutie. Veel bedrijven zijn begonnen met een dataregister en hebben dat nu op orde, maar het moet ook verder gaan, meer ‘sustainable’ worden, met data discovery en dergelijke. Dus ja, er zijn wel veel bedrijven on track, maar velen zijn er nog niet.’
George Ataya: ‘Er is zeker nog veel te doen, 100 procent compliancy is nog een zeldzaamheid, ook al zijn sommige organisaties al jaren geleden met de voorbereiding begonnen. We moeten ook veel nadruk leggen op onderwijs en sensibilisering. Het is een ‘state of mind’, GDPR gaat zowel over beveiliging als risk management als regularisering en noem maar op. Daar heb je dus heel veel verschillende skills voor nodig. En dat kost tijd.’
Voor de bedrijven die er nog moeten aan beginnen, wat zijn de basisstappen?
Danielle Jacobs: ‘Het belangrijkste is wel, denk ik, je data-inventaris of dataregister. Met welke data werken we? Waar zitten die data? Hoe zijn die beveiligd? Vaak vind je data over zoveel departementen terug, dat de mensen het zelf niet meer weten. Ik zou er ook voor zorgen dat je goed voorbereid bent op vragen van klanten. Want die zullen waarschijnlijk komen.’
George Ataya: ‘Betrek ook zoveel mogelijk het management. Zij moeten de grote vragen kunnen beantwoorden: wat is onze strategie? Hoe ver gaan we? Wat durven we te verwaarlozen? Zonder die informatie wordt het moeilijk voor de mensen op de vloer. Je moet zoiets ook plannen. Als je nu naar een it-organisatie komt met een probleem, hoor je vaak: ‘daar hebben we over twee jaar een oplossing voor’. Ja, nu kom je naar hen toe met tientallen van dat soort kleine problemen. En die twee jaar heb je niet. Het is een complete omwenteling.’
Hoe zit het met de overheid? Zijn zij mee?
Philippe De Backer: ‘Een heel terechte vraag, want als overheid moeten we hier een voorbeeldfunctie hebben. We zijn hier intern al een hele tijd mee bezig, zowel op Vlaams, Waals als federaal niveau zijn er verschillende programma’s opgestart, onder meer bij, bijvoorbeeld, Sociale Zaken. Dat moet ook, want zij worden in de toekomst zelf verantwoordelijk voor hun data. En ze zullen rekening moeten houden met dezelfde sancties als bedrijven. Als je het op gemeentelijk niveau bekijkt, zijn er wel nog grote verschillen. We houden dat goed in de gaten met onder meer de VVSG (Vlaamse Vereniging van Steden en Gemeenten) en dan zie je goede en minder goede leerlingen. Antwerpen bijvoorbeeld heeft een voortrekkersrol, maar zij hebben dan ook organisaties als Digipolis waar ze ee beroep op kunnen doen. In kleinere gemeenten ligt dat moeilijker. Hoewel ook daar soms zeer privacygevoelige data ligt opgeslagen.’
George Ataya: ‘Hier geldt hetzelfde als bij bedrijven: het senior management moet mee in bad. Het is niet genoeg dat een cto zegt: trek je plan. Dit belangt alleman aan.’
Wat zijn volgens jullie de grootste mythes rond GDPR?
Danielle Jacobs: ‘Dat mei 2018 de einddatum is. Dat is geen deadline, maar een startschot van een nieuwe era.’
Dimitri Maesfranckx: ‘Dat het enkel gaat over ‘het recht om vergeten te worden’. Het is veel meer dan dat. Het is een end-to-end-verhaal met heel veel stakeholders. Het gaat ook niet enkel over compliant zijn. Voor bedrijven is het belangrijk dat ze hier leren om voordeel uit te halen. Zo’n consistente visie op al je klantendata kan ook het fundament zijn voor een complete digitale omwenteling.’
Is er een verschillende impact op verschillende industrieën? Zijn er grote verschillen als je in een FMCG-omgeving werkt in plaats van in een b2b-business?
George Ataya: ‘Wat ik zie is dat élke sector met vragen zit. We organiseren veel ronde tafels en seminaries in heel uiteenlopende sectoren en veel dingen komen telkens terug. Gisteren sprak ik nog met een Belgisch bedrijf dat een vestiging heeft in de VS en hun vraag was wie verantwoordelijk is voor hun Amerikaanse data. Dat zijn zo typische zorgen waar men mee zit.’
Philippe De Backer: ‘Ik kan dat bevestigen. Bij de hervorming van de Privacycommissie hebben we ook voorzien in een ‘knowledge center’ en een ‘advice council’ waar alle good practices en bruikbare whitepapers verzameld worden. Ik zou zeggen: maak er gebruik van.’
Dimitri Maesfranckx: ‘Veel bedrijven dachten in het begin ook dat dit vooral organisaties in b2c zou aanbelangen, maar ook in b2b-omgevingen komen bedrijven, door de digitale omwenteling en nieuwe digitale mogelijkheden, in contact met hun eindklanten.’
Nog even over de boetes: hoe staan jullie daar tegenover?
Danielle Jacobs: ‘De boetes op zich zijn niet het einddoel van GDPR, het gaat over veel meer dan dat. Het gaat wel over het scheppen van een positieve omgeving waarin veiligheid en privacy meer aandacht krijgt.’
Dimitri Maesfranckx: ‘De boetes zijn natuurlijk wel een stok achter de deur, een incentive om compliant te worden. En reken ook maar dat die stok gebruikt zal worden. Het is een middel om een onderscheid te maken tussen de bedrijven die het serieus nemen en er in geïnvesteerd hebben en diegenen die er aan proberen te ontsnappen.’
George Ataya: ‘Op het moment dat je een boete moet uitschrijven, is het natuurlijk eigenlijk al te laat. De boete moet vooral ook een afschrikkend effect hebben, denk ik. In directiekamers moet men denken: ‘Ik wil niet als eerste met dit soort praktijken in de krant komen’.’
Om af te sluiten: sinds GDPR een hot topic werd, wordt de markt overspoeld door zelfverklaarde specialisten en consultants die hun diensten aanbieden. Hoe staan jullie daar tegenover?
George Ataya: ‘Ik ben soms echt bang als ik zie wat er allemaal verkondigd wordt. Maar ik ga daar niet te veel over zeggen, ik roep een ‘interest of conflict’ in (lacht).’
Dimitri Maesfranckx: ‘Dat heb je natuurlijk omdat GDPR aan zoveel aspecten raakt die allemaal gecoverd moeten worden, van databescherming, over it tot legal.’
Philippe De Backer: ‘Ik denk dat er inderdaad wel wat verschil in kwaliteit is. Met de Privacycommissie kunnen we zulke zaken ook niet gaan certificeren, simpelweg omdat we daar de mankracht niet voor hebben. Maar je kan je natuurlijk wel een aantal basisvragen stellen: heeft je consultant een goed track record? Werkt hij samen met gereputeerde instellingen? En zo meer. Aan bedrijven zou ik zeggen: doe je huiswerk.’
