Transcript
Er zijn nieuwe privacyregels in de Europese Unie en die hebben nogal wat impact. Ook voor organisatoren en eventbedrijven. Wat de nieuwe regels precies inhouden, legt advocaat Bart Van den Brande helder uit.
Dag Bart, welkom in de studio.
Dag Kevin.
Er zit een nieuwe, Europese privacywetgeving aan te komen en die heeft wel heel wat impact. Vooral op marketeers. Maar wat houdt het precies in?
Wel, laat mij al beginnen met aan te vullen: vooral voor marketeers, maar eigenlijk voor alle bedrijven die persoonsgegevens of data in huis hebben. Dat is niet alleen marketing, dat is ook uw HR-database, dat is ook alles wat bij boekhouding zit, dat is het purchasing-department van bedrijven. Dus iedereen die data in huis heeft, zal een aantal nieuwe regels moeten volgen in de toekomst. En die regels zijn streng. Wij hebben het gevoel dat bedrijven nog niet voldoende beseffen dat ze zich moeten voorbereiden. Er is nog 1,5 jaar om te zorgen dat je klaar bent voor die nieuwe regels. De boetes, die op het niet naleven van die nieuwe regels staan, zijn enorm. Dat klinkt altijd als de advocaat die mensen komt bang maken, maar de boetes zijn enorm deze keer.
Wat is enorm?
Tot 4% van je omzet, of tot 20 miljoen euro boete. Die boetes zijn zo hoog gelegd, om te zorgen dat de Googles en de Facebooks van deze wereld, eindelijk een keer aangepakt kunnen worden, als ze de regels niet naleven. Maar 4% van je omzet, als bedrijf, dat is voor elke KMO ... Niemand heeft zoveel cash aan de kant staan om boetes te betalen. Dat is voldoende om bedrijven een zeer vervelend jaar te bezorgen, in het beste geval. Of in financiële moeilijkheden te brengen, in het slechtste geval.
Oké, maar laat ons misschien beginnen met de regels. Wat zijn de nieuwe regels?
Wel, die verordening voorziet eigenlijk 2 dingen. Eén is een hoofdstuk over hoe je omgaat met data van klanten of van prospects. Dat is inderdaad voor een groot deel marketing, denk ik. Hoe moet je het akkoord krijgen van mensen, om die data te verwerken en bij te houden? Die regels bestonden vroeger al, maar die worden nu veel strenger. Eén van de nieuwe dingen die daar zal instaan, bijvoorbeeld, is dat data van minderjarigen, wie minder dan 16 is - of misschien in de toekomst minder dan 13 is, maar voorlopig 16 - niet meer kan worden verwerkt zonder de toestemming van de ouders. Dat betekent dat, wie een Facebookprofiel wil aanmaken, moet zorgen dat niet hijzelf, maar zijn ouders de toestemming geven. Dat is eentje die erin staat.
Dat is al niet evident.
Dat is niet evident, inderdaad. Dat is een vervelende voor marketeers.
Een tweede, die zo mogelijk nog vervelender is, volgens mij, is: wanneer een bedrijf mijn persoonsgegevens - mijn e-mailadres, mijn naam, mijn telefoonnummer - in handen krijgt en ze hebben dat niet van mijzelf gekregen, moeten ze mij in de toekomst binnen de 30 dagen contacteren om te zeggen: hallo, wij zijn bedrijf X en we hebben uw gegevens gekregen van bedrijf Y. En wij gaan die bijhouden om u reclame te sturen.
Bent u daarmee akkoord? Het feit dat je zelf proactief contact moet nemen met mensen, om hen te waarschuwen, is commercieel een beetje moeilijk, denk ik. Bedrijven moeten daar dus een manier vinden, om dat op een commercieel aanvaardbare manier te verpakken. Want als je dat niet doet, zal het risico in de toekomst zijn, dat die boete oploopt. En daar is het belangrijk om te weten, dat tot nu toe - mensen die met data werken, zullen dat bij zichzelf aan het denken zijn, terwijl ze mij horen spreken - tot nu toe waren daar heel weinig controles op en waren de boetes zo goed als onbestaande.
Maar de privacy commissie, de overheidsinstelling die in België toezicht houdt op het naleven van de privacy, die wordt hervormd, in het kader van die verordening. En die zal effectief politionele bevoegdheid krijgen. Het is te zeggen: zij zal onderzoek kunnen voeren en zij zal zelf boetes kunnen opleggen. Dus waar tot nu toe, eigenlijk, geen controle bestond, zal dat in de toekomst wel zo zijn. En bedrijven moeten zorgen dat zij klaar zijn. Dat is één onderdeel van die verordening. Een tweede onderdeeltje gaat eigenlijk over de processen binnen je bedrijf. En die raken niet alleen de marketing, maar die raken het ganse bedrijf. Eén van de dingen die daar van belang zijn, is dat elk bedrijf waar je mee samenwerkt, elke onderaannemer die bijvoorbeeld je nieuwsbrieven per e-mail verstuurt, het externe HR-bureau, de recruiters waar je mee samenwerkt, het marketingbureau waarmee je samenwerkt, elke derde die toegang heeft tot data uit je bedrijf, daarmee zal je in de toekomst geschreven contracten, schriftelijke contracten moeten hebben. En in die contracten zullen een aantal verplichte veiligheidsclausules moeten staan. Ik weet nu uit ervaring dat, 1: die contracten er vaak niet zijn. Dat gaat ook over individuele consultants bijvoorbeeld. Wie een marketingconsultant in huis heeft, zal moeten zorgen dat daar een contract is. Als die contracten er zijn, en ook dat zien we nu gebeuren bij bedrijven die zich beginnen in regel te stellen, dan liggen die ergens in het bedrijf, maar niemand weet waar. En als we ze al kunnen lokaliseren, dan zien we die contracten niet voldoen. Het is dus aan bedrijven om vanaf nu tot mei 2018, als die verordening in werking treedt - dat is nog 1,5 jaar, er is nog een beetje tijd, te zorgen dat ze een interne audit voor zichzelf opzetten. Welke data gaat er rond in het bedrijf? Wie heeft daar toegang toe? Waar komt die data het bedrijf binnen? Hoe gaat die het bedrijf weer buiten? Met wie werken we samen? Zijn daar contracten, zijn daar geen contracten? Om dat in kaart te brengen, zodat men op tijd de nodige maatregelen kan beginnen nemen. Dat is 1, er moeten contracten zijn. Bedrijven moeten in de toekomst kunnen bewijzen, of moeten kunnen documenteren, ik zal het zo zeggen, hoe ze met data omgegaan zijn in het verleden. Elke verwerking van persoonsgegevens die gebeurt in het bedrijf, elke processing, iedereen die toegevoegd wordt aan de database, iedereen die eruit gehaald wordt, elke keer data doorgegeven wordt aan derden, moet gedocumenteerd zijn. Je moet daar een logboek van hebben in het bedrijf. Als het ooit misgaat, als data gehackt wordt, of verloren gaat, moet je in dat logboek kunnen aantonen, dat je de nodige veiligheidsmaatregelen hebt genomen, om te voorkomen dat data zou worden ontvreemd. Dus dat, samen met die contracten, zorgt voor een administratieve last die, in de toekomst, op bedrijven zal rusten. Tijdig beginnen is dan de boodschap, want daar is werk aan.
Ja en het is wel een hele hoop werk. Zeker voor, bijvoorbeeld, eventorganisatoren, die vaak maar met een klein team zijn. Dat is bijna een fulltime job die erbij komt.
Ja, wat we zien is dat veel bedrijven hiervoor beroep gaan doen op externe consultants, om zich klaar te maken. Er zijn eigenlijk twee aspecten aan dat verhaal. Er is het juridische verhaal en daarvoor kan je terecht bij een aantal gespecialiseerde juristen of advocaten, zoals wijzelf natuurlijk. Maar daarnaast heb je eigenlijk ook een consultant nodig, die IT-security kent en die ook iets kent van processen binnen bedrijven. Want wat je gaat moeten doen, is het in kaart brengen van de processen, zoals ik daarnet zei, en het voorzien van de nodige veiligheid op je databases. Dat gaat van het zorgen dat niet iedereen toegang heeft, dat gaat van het instellen van procedures binnen het bedrijf, dat gaat over het voorzien van hacking procedures. Wat gaan wij als bedrijf doen, als ooit onze data gestolen wordt?
Wie moet er binnen het bedrijf reageren? Wat moet die doen? Wie moet die verwittigen? Dat soort procedures moet worden ingesteld. Het is heel moeilijk om dat als bedrijf zelf te doen. Maar er zijn een aantal specialisten in de maak, die zich daarop gaan richten.
Ik ben toch een beetje bang gemaakt. Maar je zegt, het is pas mei 2018, dus we hebben nog even.
Dus dan is het nu wel het moment om in actie te schieten.
Je moet er als KMO, denk ik, van uit gaan dat je een aantal maanden, een half jaar moet voorzien om het ganse traject te doorlopen. Omdat er een aantal dingen nodig zijn. In veel gevallen zal het arbeidsreglement moeten worden herzien. Daar moet eventueel, als er een vakbond is binnen dat bedrijf, of een ondernemingsraad, zal die zich daarover moeten uitspreken. Het zijn dus processen die een beetje tijd nodig hebben. Dus wie tijdig wil klaar zijn, kan best, in de loop van 2017, tijdig starten.
Je moet er ook rekening mee houden: als je beroep wil doen op de consultants waarover ik daarnet sprak, dat die niet zo dik gezaaid zijn, de echte specialisten, en dat die vanaf half 2017 waarschijnlijk zeer druk bezig zijn. Want dit is wetgeving die, in de perceptie van de mensen, eigenlijk over marketing gaat. Zoals je bij de opening zei. Maar dit raakt bijna elk bedrijf in België. Iedereen heeft een database, iedereen heeft personeelsgegevens in huis. Iedereen heeft een klantendatabase. Dat betekent dat elke KMO, elke zelfstandige, tot elke multinational, zich in regel moet stellen. Dat betekent dat de personen die je in regel kunnen stellen, erg druk bezet zullen zijn vanaf de zomer 2017.
Oké, bedankt voor dit advies en voor je komst naar de studio.
Graag gedaan.
En u, beste kijker, bedankt voor het kijken en alweer tot volgende week.
