Een jaar is inmiddels voorbijgegaan sinds op 25 mei 2018 de Algemene Verordening Gegevensbescherming (GDPR) in Europa met veel bombarie in werking trad. GDPR zou een revolutie betekenen op het vlak van verwerking van persoonsgegevens en zou aan de Europese burger de controle en eigendom teruggeven over zijn eigen data en dus, bij uitbreiding over zijn eigen persoon.

GDPR zou volgens sommigen van Europa “het centrum van vertrouwen” of “een gouden standaard” maken en waarin de internetreuzen Google, Amazon, Facebook en Apple (Gafa voor de vrienden) monsterboetes zouden oplopen van 4% van hun wereldwijde omzet, wat hen zou dwingen om de rechten van Europeanen te respecteren en kleine Europese bedrijven zouden door de strengere regels ook buiten de EU toe te passen beter kunnen concurreren met internationale giganten die er altijd voor gekozen hadden om te opereren van buiten de EU.

Tegenstanders benadrukken al vanaf dag één de zware administratieve rompslomp die GDPR met zich meebrengt, niet enkel voor multinationals, maar ook voor kleine en middelgrote ondernemers.

Een jaar na datum is het tijd om een eerste balans te maken en om die grote dromen te toetsen aan de werkelijkheid: is GDPR een last of een lust voor ondernemers?

De ervaring van het voorbije jaar, met name hier in België, lijkt in elk geval aan te geven dat de ballon die vorig jaar propvol hete lucht werd opgeblazen met een sisser is leeggelopen. België kende het voorbije jaar geen controles, geen boetes, nauwelijks of geen klachten en in de praktijk diende vastgesteld te worden dat met uitzondering van (de meeste) overheden, banken verzekeraars, multinationals en een handvol goedbedoelende ondernemers met ethisch (en commercieel, zoals we verder in dit artikel zullen zien) besef, een overweldigende meerderheid van de Belgische bedrijven niet of onvoldoende met GDPR aan de slag is gegaan, vaak vanuit de feitelijke vaststelling dat er toch geen controles werden gevoerd en al zeker geen boetes werden opgelegd.

Dat gebrek aan controles had overigens een geheel typisch Belgische, communautaire reden, waarbij de directie van de nieuw opgerichte Gegevensbeschermingsautoriteit gedurende meer dan een jaar niet ingevuld raakte omwille van de taalvereisten die opgelegd werden voor onder meer de voorzitter. Uiteindelijk is de GBA sinds twee maanden wel up and running en kan België beginnen met het inhalen van zijn achterstand ten opzichte van onze buurlanden.

Dat alles heeft echter, zoals hier al gezegd, geleid tot een gebrek aan noodzaak bij Belgische ondernemers, waardoor ook wij tot vandaag dagelijks geconfronteerd worden met de vraag of heel die GDPR nu eigenlijk wel ernstig genomen moet worden… Bovendien leeft bij heel wat ondernemers de frustratie dat slecht nagedacht is over de impact die GDPR heeft op de werking van kleine ondernemingen en de -althans in de perceptie van ondernemers- immense rompslomp en administratie die een en ander met zich mee brengt. Verwerkersovereenkomsten, DPIA’s, informatieverplichtingen, verantwoordingsplicht en alle administratie die dat met zich meebrengt, meldplicht bij datalekken, … Een hele reeks verplichtingen die tijd, geld en energie kosten en die op het eerste zicht geen enkel voordeel opleveren.

Nee, de GDPR heeft zich het voorbije jaar in België niet bepaald in de harten van ondernemers genesteld.

En in de andere Europese lidstaten?

In de rest van Europa is de situatie toch enigszins anders. Een jaar GDPR levert volgens de eerste cijfers van de Europese Commissie 145.000 klachten op (waarvan amper 400 in België of 0,27% van het totaal aantal klachten), erg weinig op een bevolking van meer dan 500 miljoen inwoners. Voor onze buren in Frankrijk leert marktonderzoek dat 44% van de burgers bij een bevraging zelfs niet weet wat GDPR is. Voor België zijn er voorlopig geen cijfers, maar het bijna onwerkelijk lage aantal klachten in België geeft aan dat ook bij de Belgische burger GDPR duidelijk niet leeft.

Nochtans is België met zijn communautaire gekibbel niet eens de slechtste leerling van de klas. Met Griekenland, Slovenië en Portugal hebben maar liefst drie lidstaten de GDPR één jaar na datum zelfs nog niet kunnen implementeren. In andere lidstaten klagen de lokale Gegevensbeschermingsautoriteiten steen en been over een gebrek aan financiële slagkracht en personeel om controles te doen.

GDPR boetes?

In België blijven de gevreesde monsterboetes zoals gezegd nog even achterwege, maar in de ons omringende landen zijn er wel degelijk zware boetes en dwangsommen opgelegd, ook al gaat het om een beperkt aantal cases. Vooral de Franse CNIL heeft zich het voorbije jaar erg actief getoond met enkele hoge boetes, onder andere voor Google, maar ook in Nederland, Duitsland, Polen liepen grote en kleinere bedrijven tegen waarschuwingen, dwangsommen en boetes aan. In totaal gaat het in de EU na een jaar om om en bij de 56 miljoen euro aan boetes.

Die boetes, hoe beperkt in aantal ook, hebben overigens wel degelijk voor effect gezorgd. De digitale reuzen zijn er de GDPR wel ernstig(er) door gaan nemen. De Gafa zijn degenen die ongetwijfeld de meeste middelen hebben geïnvesteerd in “GDPR compliance”, ook al blijven ze warm en koud tegelijk blazen door toch steeds weer achterpoortjes open te zetten. Zo kon Facebook zijn gezichtsherkenningstechnologie in Europa opnieuw introduceren door dezelfde technologie die eerder te intrusief voor de privacy bevonden werd nu voor te stellen als een manier om privacybescherming onder GDPR.

Kleine bedrijven echter zijn duidelijk helemaal niet afgeschrikt door het risico op torenhoge boetes. Zij gaan er van uit dat alle aandacht van de overheid ingenomen wordt door de strijd tegen Facebook en Google en voor velen is dat het perfecte voorwendsel om niet met GDPR aan de slag te gaan.

GDPR als opportuniteit?

Het is duidelijk dat bovenstaande a fortiori geldt voor België, waar tot voor kort zelfs geen overheid actief was die controles zou kunnen voeren of boetes zou kunnen opleggen. Betekent dat dan dat Belgische bedrijven terecht achterover leunen en er van uitgaan dat heel het GDPR verhaal wel zonder blazen zal koelen?

Wel, daarmee zijn wij het niet eens. Wat het voorbije jaar ons geleerd heeft is dat ondernemers die wél proactief met GDPR aan de slag zijn gegaan dat in eerste instantie vaak doen vanuit een soort van plichtsbesef of omdat ze er door de omstandigheden toe gedwongen worden, bijvoorbeeld omdat klanten eisen dat een verwerkersovereenkomst getekend wordt waarin ook een hele reeks informatie en garanties gegeven moeten worden die een voorafgaande GDPR-compliance oefening veronderstellen of omdat zij voor de overheid werken en vanuit die hoek het voldoen aan GDPR als een vereiste opgelegd wordt. Diezelfde ondernemers worden echter vaak gaandeweg enthousiast doorheen een GDPR-traject, naarmate zij inzien dat GDPR niet enkel een reeks administratieve verplichtingen inhoudt, maar dat bewust en ethisch omgaan met persoonsgegevens hen ook voordeel oplevert…

Die voordelen zijn uiteenlopend.

Heel wat bedrijven stellen vast dat een grondige GDPR impact assessment of audit binnen hun onderneming niet enkel noodzakelijk is onder GDPR, maar dat het hen ook heel wat nuttige informatie oplevert over hun eigen interne werking: welke data hebben wij eigenlijk intern, waar zit die verspreid, hoe werken onze afdelingen, hoe interageren onze afdelingen met elkaar, waar zitten inefficiënties en nodeloze risico’s, hoe kunnen we data beter inzetten, hoe kunnen we data beter laten circuleren, … Allemaal erg nuttige aandachtspunten die in de dagelijkse werking van KMO’s maar al te vaak onder de radar blijven.

Andere bedrijven zien in het kader van een GDPR-denkoefening plots opportuniteiten opduiken: kansen om data uit te wisselen met partners waar dat voorheen niet gebeurde, mogelijkheden om bestaande data beter in te zetten en er méér nuttige learnings uit te halen, wijze lessen met betrekking tot het algehele veiligheidsbeleid van de onderneming die het niveau van persoonsgegevens overstijgen, mogelijkheden om te digitaliseren, om een betere beveiliging van bijvoorbeeld bedrijfsgeheimen in te bouwen, om eindelijk die interne teams te reorganiseren en efficiënter te laten samenwerken … In praktijk blijkt GDPR vaak een trigger te zijn in change management en optimalisatie van bedrijfsprocessen.

Maar de slimste ondernemers zijn zij die inzien dat GDPR-compliance geen last is, maar een echte commerciële opportuniteit. Wat GDPR immers wel realiseerde over het voorbije jaar is een groeiend bewustzijn bij de digitale burger over wat er met zijn data gebeurt en kan gebeuren. Burgers -consumenten- beseffen steeds beter dat hun privacy “waarde” heeft en dat adverteerders maar al te graag weten wie die consumenten zijn, wat ze kopen, waar en wanneer ze kopen, hoe ze betalen, hoe ze denken, wat ze verwachten, …

Lange tijd gingen adverteerders er van uit dat die data vrij in de lucht hing en dat zij daarmee zonder veel beperkingen aan de slag konden gaan. De hele “big data” hype draaide precies hierom: zoveel mogelijk data verzamelen, ongeacht de vraag of we vandaag eigenlijk al weten wat we met die data gaan doen. Dat zien we later wel weer.

Vandaag echter zorgt een groeiend bewustzijn bij de burger voor een slingerbeweging. Mensen willen niet langer ongevraagd gevolgd, bekeken en geanalyseerd worden. Ze willen zelf controle over wat ze delen en met wie ze die info delen en ze willen weten dat hun wensen gerespecteerd worden. Een ethisch imago inzake personal data wordt met andere woorden een belangrijke eigenschap voor merken. Zo wordt correct en transparant omgaan met persoonsgegevens niet enkel onderdeel van een interne bedrijfscultuur, maar wordt dit ingebouwd in het corporate imago dat bedrijven willen uitdragen naar hun klanten toe, net zoals milieubewustzijn en sociaal-ethisch ondernemen dat zijn.

Slimme ondernemers hebben die opportuniteit om zich te onderscheiden van concurrenten al lang begrepen en data protection wordt zo een echt salesargument. Bedrijven werken aan software die data protection by design en by default is, aan processen die met minder data eenzelfde resultaat bereiken, aan software die data maximaal encrypteert en anonimiseert, aan garanties op data security, netwerkbeveiliging en confidentialiteit, … allemaal vanuit de boodschap “kom bij ons, bij ons bent je veilig…” en zo is GDPR op een jaar tijd geëvolueerd van een dure ongevraagde last voor ondernemers tot een hippe opportuniteit en een uitgelezen kans voor marketeers. Plots zien ondernemers wél kansen om aan heel die GDPR iets te verdienen en dus gaan ze er eerst schoorvoetend en daarna steeds enthousiaster toch maar mee aan de slag, waarmee voor de zoveelste keer bewezen is dat ook in het recht de wortel vaak zoveel beter werkt dan de stok…