GDPR, de General Data Protection Regulation die veel ondernemingen angst inboezemt, zal binnen heel Europa in werking treden vanaf 25 mei. Net zoals men indertijd beducht was voor een vóór en na het jaar 2000 of 'Y2K', vrezen sommigen een vóór en na GDPR. Is die angst wel gefundeerd?
Het gaat momenteel alleen maar over GDPR, het nieuwe monster van Loch Ness. Mensen hebben er des te meer schrik van, omdat ze niet goed weten tot waar GDPR zich uitstrekt en omdat het erg theoretisch blijft. In de praktijk voelen bedrijven zich enigszins aan hun lot overgelaten. Eigenlijk moet er worden gewacht tot er zich manifeste problemen voordoen om concrete gevallen en de betreffende jurisprudentie aan het licht te brengen. Tot dan blijft het in het duister tasten.
Dezelfde onduidelijke situatie deed zich negentien jaar geleden voor, in de aanloop naar het jaar 2000. Ook toen werd voor het ergste gevreesd. Welke bugs zouden er opduiken? Met welke maatregelen moesten die worden bestreden? Hoe en in welke mate zouden bedrijven worden getroffen? … Allemaal vragen die advocaten en andere consultants van allerlei pluimage blij (en rijker) hebben gemaakt. Vandaag zien we dat alles opnieuw in verband met GDPR. Bedrijven doen een beroep op specialisten, want ze moeten zich straks kunnen houden aan dit nieuwe reglement.
Geen grote aandachtspunten
Vanuit informaticaperspectief zijn er geen grote aandachtspunten en ook geen grote uitgaven die zich aandienen voor de bedrijven. Hun beveiliging en hun it-organisatie zijn immers reeds van een degelijk niveau. Vanuit juridisch perspectief moet elk bedrijf echter fundamenteel aan de slag om zich aan te passen aan GDPR, al naargelang de gevoeligheid van het management en de specifieke aspecten van elke activiteit. Zodra dat werk achter de rug is en als de betrokken partijen met gezond verstand te werk gaan, zal alles goed verlopen. Met andere woorden: men moet zich niet wenden tot de Privacycommissie bij de eerste newsletter die men ontvangt zonder dat men zich heeft ingeschreven. Tenzij bedrijven als kernactiviteit de verzameling en verwerking van persoonsgegevens of vertrouwelijke gegevens hebben, zouden ze dus de GDPR-principes zonder al te veel moeilijkheden moeten kunnen integreren.
Als ondernemer bekijk ik GDPR zelfs als iets positiefs. Om te beginnen, is het een gelegenheid om met ‘smart data’ te gaan werken, dat wil zeggen data sorteren en alleen nog behouden wat relevant is voor de eigen bedrijfsactiviteiten. Het is misschien ook het moment om het vertrouwen van de consumenten terug te winnen. Zij verschaffen vandaag immers nog slechts een minimum aan persoonlijke gegevens uit vrees dat die gegevens worden misbruikt. Na 25 mei zal er een wettelijk kader zijn en zullen consumenten hun gegevens vrijwilliger gaan communiceren. En een goede kennis van de klanten, is een waardevolle troef voor alle commerciële contacten.
Tot slot wijs ik op een zekere paradox in dit hele debat. Veel mensen pronken immers met vaak erg persoonlijke gegevens op de sociale netwerken waar ze voor de hele wereld te kijk staan.
François Bryssinck, mede-oprichter en ceo van Megabyte
