Negen maanden geleden ging de GDPR van kracht, de General Data Protection Regulation, of, in goed Nederlands, de AVG, de Algemene Verordening Gegevensbescherming. Peter Witsenburg (auteur van 'Het Grote GDPR Handboek'), Ivan Verstraeten van DeJuristen en Jan Guldentops, ceo van BA Security legden op het Computable Café de wet onder de loep.
Is de GDPR de beste uitvinding sinds gesneden brood? Of is het allemaal maar een storm in een glas water? Maandenlang voor de wet werd ingevoerd, was er al veel beroering en discussie over. Waar staan we nu ze er is, volgens onze drie gasten? Veel blije gezichten zien we niet. ‘Vandaag is het toevallig de dag van het geluk’, zegt Peter Witsenburg, ‘maar we zijn ook tien plaatsen gezakt. Of de GDPR daar wat mee te maken heeft, weet ik niet, maar het zou goed kunnen.’
‘Het probleem is ook dat de privacybescherming nog niet op volle toeren draait’, geeft Verstraeten mee. ‘De GDPR is momenteel nog beperkt in haar gevolgen, bijvoorbeeld omdat de gegevensbeschermingsautoriteit (die drie keer voor dit debat gevraagd werd, maar telkens weigerde, red.) nog beperkt is in haar slagkracht wegen het uitblijven van de benoemingen van de directieleden.’
‘Dat is inderdaad een gigantische Belgenmop’, zegt Guldentops. ‘Er is momenteel zero juridische werking, onder meer omdat men geen geschikte kandidaat vond voor de Duitse taalrol. Bovendien: de overheid heeft ook boetes voor iedereen voorzien, behalve voor haarzelf. Dat is eigenlijk een schande. Enkel België en Oostenrijk hebben dat zo geregeld.’
Volgens Peter Witsenburg zou de situatie van de directie heel binnenkort trouwens opgelost zijn. ‘Ik hoor berichten dat er vandaag een vergadering gepland zou zijn over die benoemingen waar het probleem geregeld zou worden. Als dat zo is, kan er pakweg volgende week al een plenaire vergadering komen met een officiële benoeming van de vijf directieleden.’ Die nieuwe directie start trouwens ook al met een stevige achterstand, zegt Witsenburg: ‘Er liggen nu al meer dan vijfhonderd meldingen van datalekken op haar te wachten. Meteen werk genoeg dus.’
Onwetendheid
Maar ook afgezien van het feit dat er nog geen directie is, loopt het nog niet helemaal lekker met de GDPR, zegt Verstraeten. Er is nog veel onwetendheid, zeker bij kmo’s en er zijn ook nog discussies over bijvoorbeeld bepaalde aansprakelijkheden en hoe kosten geregeld moeten worden.
Ook opvallend: in België zijn al een paar honderd meldingen over schending van de GDPR ingediend, in Nederland zijn het er meer dan 21.000. Vandaar dat enorme verschil? ‘Daar zijn verschillende redenen voor’, zegt Jan Guldentops. ‘Een belangrijke is het cultuurverschil tussen België en Nederland: wij praten niet graag over onze miserie (lacht). Bovendien zijn heel veel organisaties bang dat een melding gelijk staat aan een controle. En daar passen ze natuurlijk liever voor. Dat is geen goede zaak.’
Je moet de cijfers ook in zijn context zien, zegt Peter Witsenburg. ‘In de hele EU zitten we nu op meer dan honderdduizend meldingen, maar zowat 47 procent daarvan gaat over mails met gegevens die naar een bepaalde persoon zijn te herleiden, maar die naar een verkeerd adres werden verstuurd. Nederlanders melden zulke zaken plichtbewust.’
Uitzonderingsmaatregelen
Er zijn ook wel wat uitzonderingsmaatregelen voorzien waarbij organisaties ontslagen worden van hun meldingsplicht, geeft Verstraeten aan. ‘En daar wordt misschien wat te gretig gebruik van gemaakt.’ Een zo’n voorbeeld is bijvoorbeeld wanneer je per ongeluk één klant uit je crm-systeem wist, weet Jan Guldentops. ‘Die data zijn ‘weg’, ook al kan die fout een minuut later rechtgezet worden. Het grote probleem is volgens mij wel dat die wat floue situatie rond GDPR niet te lang meer mag duren. Anders verliest de maatregel impact.’
‘Het is ook zo dat GDPR nu nog te vaak als iets negatiefs gezien wordt’, zegt Witsenburg. ‘Er zijn absoluut ook voordelen. Dit is bijvoorbeeld een prima opportuniteit om eens grote kuis in je data te doen en na te gaan waar alles zit. De voordelen komen veel te weinig uit de verf.’
‘Dat waarom van de GDPR is trouwens nooit echt goed uitgelegd’, pikt Guldentops in. ‘Data zijn superbelangrijk. Als je het voorbeeld geeft van Ashley Madison (een datingsite voor ‘vluchtige’ contacten die enkele jaren geleden gehackt werd, veel gebruikers werden nadien gechanteerd, red.) beseffen mensen wel het belang. Als je dat niet uitlegt krijg je reacties à la ‘de overheid heeft dit verzonnen om ons te pesten’.’
Die overheid maakt het in elk geval niet gemakkelijk om meldingen te doen, zegt Peter Witsenburg. De procedure is zwaar en technisch ingewikkeld. ‘Het is een vierstappen-plan, maar verder dan stap twee geraakt bijna niemand.’
‘Er is ook te weinig standaardisatie in de overeenkomsten met klanten’, zegt Guldentops. ‘Van loodgieters over taxi’s tot vastgoedmakelaars…ieder heeft zijn eigen versie.’
Waar is de data protection officer?
Volgens een studie die Computable liet uitvoeren, heeft ongeveer een vijfde van alle kmo’s nog niks gedaan met GDPR. Moeten we ons daar zorgen over maken? ‘We zien dat ook in de praktijk’, zegt Verstraeten. ‘Vaak hebben kleine ondernemingen maar een beperkte financiële slagkracht en het budget gaat vooral naar de core business. Ze hebben niet mogelijkheid om een interne data protection officer aan te stellen en een externe is te duur.’
Maar ook in de functie van die data protection officer (dpo) zit nog veel onduidelijkheid, zegt Witsenburg. ‘Een dpo is verplicht als men een publieke instelling is of ‘zeer veel data’ verwerkt. Maar goed, wat is ‘zeer veel’? Het certificaat van data protection officer is trouwens ook niet officieel. Iedereen kan zich zo noemen.’
‘Het probleem is dat de dpo meer moet zijn dan een jurist, meer dan een security-specialist en meer dan een product manager’, pikt Guldentops in. ‘Het moet een Homo Universalis zijn. Nu zien we vaak dat een soort Chinese vrijwilliger is, of de bedrijfsjurist die het bij op zijn bord krijgt.’
‘Ik denk dat die situatie zichzelf zal rechttrekken zodra de GBA echt boetes kan gaan uitdelen’, verwacht Witsenburg. ‘Dan komt dit vanzelf wel in orde.’
En dan is er natuurlijk ook nog de impact van GDPR op de grote cloudspeler, de Amazons, Googles en Microsofts van deze wereld. Zullen zij voor de wetten zwichten of uiteindelijk de EU verlaten?
‘Zwichten zie ik hen niet doen’, zegt Peter Witsenburg. ‘FAMGA (Facebook, Apple, Microsoft, Google en Amazon, red.) hebben ook een gigantische oorlogskas. Bovendien: de data zitten niet in de cloud, maar op de oceaanbodem. Meer dan de helft van alle internationale internetverbindingen in zee is van hen. Dus als de overheid hen te veel in de weg legt, draaien ze die kraan gewoon dicht.’
‘Veel lokale besturen, zo’n 70 procent in Vlaanderen, hebben nu ook Office 365 geïnstalleerd en kunnen niet meer terug’, zegt Guldentops. ‘De bevoegde Vlaamse commissie heeft ooit gezegd dat het niet officieel mag, maar dat ze het oogluikend toestaat. En nu is het dus te laat. Dat soort zaken moet stoppen, er moet meer duidelijkheid zijn over de gevolgen op lange termijn.’
Scary stuff
Om af te sluiten, een eenvoudige vraag aan: gaat het met privacy de goede kant uit?
‘Er is in elk geval heel veel op til’, zegt Verstraeten, ‘denk aan zaken als de vingerafdruk op het paspoort, de slimme elektriciteitsmeters, de ANPR-camera’s.’
‘Als je ziet hoe GDPR geïmplementeerd werd, ben ik niet zo zeer bang van de overheid’, zegt Guldentops. ‘Waar ik me wel zorgen over maak, zijn de zaken die je uit data kunt halen met machine learning en artificiële intelligentie. Dat is de vraag: hoe gaan we daar mee omgaan. Want dat is pas écht scary stuff.’
