De nieuwe privacy verordening: een opportuniteit voor marketeers

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG komt er om onze “data-economie” in goede banen te leiden, en om de privacy van consumenten beter te beschermen. Wat betekent deze nieuwe privacy verordening voor marketeers? Bart Van den Brande, advocaat en partner bij Sirius.Legal legt uit.

shutterstock_daprinb-1170x780

Is deze nieuwe privacy verordening op mij van toepassing?

De Algemene Verordening Gegevensbescherming, ook gekend onder de afkorting AVG of GDPR, is vanaf haar inwerkingtreding in mei 2018 onmiddellijk en rechtstreeks van toepassing op iedereen in de EU die op de één of andere manier data verwerkt. Van de tandarts die patiëntengegevens verzamelt, tot de marketeer die profielen van klanten bouwt tot de webshop die goederen verkoopt en een klantenlijst bijhoudt. Ook overheden, VZW’s,… iederéén die data bijhoudt, verwerkt en verzamelt, krijgt te maken met deze verordening.

 

Waarover gaat de privacy verordening?

De verordening bestaat uit een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor ondernemers.
Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden. Hierin is uitgewerkt wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden. Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien.  Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.
Een tweede reeks regels is echt nieuw. Die gaan over de interne organisatie van bedrijven. Zo wordt een verplichting opgelegd voor elk bedrijf om een “privacy impact assessment” te maken. Dat is een soort van veiligheidsaudit waarin bedrijven moeten onderzoeken hoe ze met data omgaan en welke risico’s zij lopen op verlies of diefstal van hun data. Op basis daarvan moeten bedrijven een actieplan uitwerken om die risico’s weg te nemen. Voor heel wat bedrijven komt daar de verplichting bij om een “data protection officer” in dienst te nemen, een soort van preventieadviseur voor privacy. Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is.
De AVG brengt daarnaast nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden, moeten de overheid én de betrokken klanten binnen 72 uur verwittigd worden.

 

Welke actie moet ik nu ondernemen?

Wat precies nodig is, hangt af van bedrijf tot bedrijf.  In grote lijnen komt het erop neer dat een privacy audit vereist is. In die privacy audit breng je in kaart welke data gebruikt worden binnen het bedrijf, waar die vandaan komen, wie er toegang toe heeft, welke onderaannemers (bv. online marketingbedrijf) die gegevens in handen krijgen, enz. Op die manier maak je een inschatting van veiligheidsrisico’s.
Op basis van de privacy audit kan je aan de slag om de nodige aanpassingen uit te voeren op deze drie niveaus:
1.    bijkomende technische beveiliging voorzien waar nodig
2.    processen binnen het bedrijf wijzigen
3.    contracten met leveranciers, arbeidsovereenkomsten, arbeidsreglementen, “bring your own device policies”, enz.
Voor heel wat bedrijven brengt dit aardig wat werk met zich mee; veel meer dan ze initieel verwacht hadden. Gespecialiseerde advocatenkantoren of IT-consultants kunnen je zeker tijdig mee op weg helpen.

 

Een last of een opportuniteit?

Volgens de AVG of GDPR volstaat het bovendien niet om zélf compliant te zijn. Als bedrijf moet je ook nagaan of de leveranciers en dienstverleners waarop je een beroep doet ook compliant zijn. Met andere woorden: de markt zal iedere speler op die markt dwingen om in orde te zijn met de nieuwe regels. In die zin is de GDPR wellicht een “last” voor veel bedrijven.
Maar omdat “big data” ook “big business” betekent, moet je, zeker als marketeer, dit compliancy-traject absoluut ook als een opportuniteit beschouwen.
In eerste instantie is het een opportuniteit om zelf binnen je organisatie na te gaan welke data er voorhanden zijn, en op welke manier ze worden gebruikt (en dus ook kunnen misbruikt worden).  Zo kan je dus nagaan op welke manier data beter kunnen ingezet worden binnen de grenzen van de nieuwe Verordening.  Een GDPR compliance traject leert je met andere woorden heel wat over je organisatie en maakt je als bedrijf matuurder, slimmer en dus ook sterker.
Bovendien is GDPR compliance de volgende jaren niet enkel een last, maar in de eerste plaats een opportuniteit en een verkoopsargument voor bedrijven die met data werken, zeker in een B2C context waar een toenemende gevoeligheid heerst van consumenten over de bescherming van hun privacy. Wie garanties kan geven dat persoonsgegevens veilig zijn, heeft in de toekomst ongetwijfeld een stapje voor op zijn concurrenten.
Je zult trouwens ook als dienstverlener voor andere bedrijven of overheden vanaf volgend jaar aan hén moeten kunnen aantonen dat je compliant bent. Wie tijdig compliant is, heeft dus zeker ook in een B2B-context een concurrentieel voordeel de volgende jaren…

 

Maar wat als ik niet compliant ben?

Wie niet GDPR compliant is tegen mei 2018, mag zich -voor het eerst in België eigenlijk- aan strengere controles en potentiële boetes verwachten. De Privacycommissie zal meer slagkracht krijgen en effectieve boetes kunnen opleggen.
De sancties die de verordening voorziet en die kunnen opgelegd worden door de nationale bevoegde autoriteit (voor België: de Privacycommissie), kunnen oplopen tot 20.000.000 euro of tot 4% van de wereldwijde omzet.
Daarnaast kan je als bedrijf ook aansprakelijk worden gesteld in geval van een datalek die schade heeft veroorzaakt aan derden.

Better safe than sorry!

Bart Van den Brande

Start dus tijdig met het GDPR compliance traject. Niet enkel om boetes te vermijden, maar omdat je begrijpt dat privacy compliance een bijkomende asset is voor jouw bedrijf!

bart-van-den-brande_avatar
Bart Van den Brande
Auteur

Bart Van den Brande is advocaat en partner bij Sirius.Legal. Hij is lid van de Nederlandstalige Orde van advocaten aan de Balie van Brussel sinds 2001. Hij heeft gewerkt bij verschillende bekende Brusselse advocatenkantoren en heeft een uitgebreide expertise opgebouwd in media- en reclamerecht, marktpraktijken en consumentenbescherming, intellectueel eigendomsrecht, internet en e-commerce, privacy- en databescherming, IT, software ontwikkeling en de kansspelenwetgeving. Omwille van zijn expertise in media- en entertainmentrecht werd Bart sedert 2013 jaarlijks als enige Belgische advocaat aangeduid als aanbevolen specialist in media & entertainment law door het internationale vaktijdschrift Global Law Experts.

 

 

  468