Waar het hart vol van is, loopt de mond van over. Voor de General Data Protection Regulation, in de volksmond beter bekend onder de afkorting GDPR, gaat die vlieger helaas niet op. Er is de laatste maanden al heel wat gezegd en geschreven over de nieuwe privacy wetgeving maar toch zien te veel bedrijfsleiders het als een verplichting die hen vooral veel tijd en geld kost. “Van bij het begin liep de communicatie rond GDPR mank. De tone of voice zat totaal verkeerd, waardoor er een sfeer van bangmakerij is geschapen”, betreurt Rien van den Bosch, Managing Partner van KOOACH, een Training-as-a-Service bedrijf dat bedrijven helpt om met hun marketing en sales up-to-date te blijven over de nieuwe trends, technieken en technologieën. Dus ook met het GDPR-verhaal. “Met onze dagtrainingen voor professionals willen wij aantonen dat het GDPR compliant maken van je bedrijfsvoering net heel veel opportuniteiten biedt en dat een onderneming er vooral ook voordeel uit kan halen.”
Iedereen brengt data binnen
Wie nu nog steeds uit de lucht komt vallen, woonde de voorbije maanden op een andere planeet. GDPR is vandaag een hot topic dat leeft in de meeste directiekamers. Of iedereen ook goed weet wat de nieuwe Europese richtlijn precies behelst, valt echter sterk te betwijfelen. “In een organisatie heb je nog altijd heel veel mensen, ook binnen het management, die niet goed beseffen dat zij vanaf 25 mei een grote verantwoordelijkheid zullen dragen in het dagelijkse gebruik van persoonsgegevens”, zegt Van den Bosch.
“Eigenlijk zijn alle medewerkers van elke onderneming wel op een of andere manier met data bezig en zou iedereen zich heel goed bewust moeten zijn van wat de gangbare procedures binnen hun organisatie. Marketeers bijvoorbeeld zien intussen wel de noodzaak in om zich goed te informeren, maar dat gebeurt nog steeds te veel in functie van de eigen activiteiten en te weinig van de bedrijfsvoering in zijn geheel. Ook bij andere afdelingen zoals HR, logistiek, IT, sales, enzovoort, kan en moet dat veel beter. Belangrijk is dat iedereen op dezelfde lijn staat en perfect weet wat de verschillende processen, procedures en systemen zijn voor dataverzameling en -opslag van persoonlijke gegevens.”
"Marketeers bijvoorbeeld zien intussen wel de noodzaak in om zich goed te informeren, maar dat gebeurt nog steeds te veel in functie van de eigen activiteiten en te weinig van de bedrijfsvoering in zijn geheel"
“De bewustwording rond GDPR is minst aanwezig bij sales”, aldus Van den Bosch. “Nochtans dragen zij evenveel verantwoordelijkheid als hun collega’s van marketing of IT. Commerciële mensen gaan bijvoorbeeld naar een beurs, verzamelen daar visitekaartjes en vragen vervolgens aan de marketeers of zij die contactgegevens willen toevoegen aan het CRM-systeem. Iedereen brengt data binnen in het bedrijf.”
Data Protection Officer
Als Managing Partner van een Training-as-a-Service bedrijf weet hij heel goed de vinger aan de pols te houden. De dagtrainingen rond GDPR (voor marketeers, agentschappen, ambtenaren en sales) lopen aardig vol en worden wegens groot succes zelfs verlengd. “Dat veel bedrijven nu pas in actie schieten - terwijl de GDPR al veel langer ‘the talk of the town’ is - zal wel typisch Belgisch zijn zeker?”
"Dat veel bedrijven nu pas in actie schieten - terwijl de GDPR al veel langer ‘the talk of the town’ is - zal wel typisch Belgisch zijn zeker?"
“Ga er nu al maar van uit dat niet elk bedrijf op 25 mei volledig in orde zal zijn. En al zeker de overheid niet, ondanks de voorbeeldfunctie die zij heeft. Veel ambtenaren horen het in Keulen donderen wanneer GDPR ter sprake komt. De tijd dringt nochtans. Een inhaalbeweging is zeker nog mogelijk, maar dan zal men toch een serieus tandje moeten bijsteken.”
Merkwaardig genoeg hebben de meeste steden en gemeenten ook nog steeds geen Data Protection Officer in dienst, merkt Van den Bosch op. “Nochtans zegt de nieuwe Europese richtlijn heel duidelijk: als de kerntaken of basisactiviteiten van een organisatie bestaan uit het systematisch monitoren van personen, alsook het op grote schaal verzamelen en verwerken van bijzondere categorieën van gegevens, dan ben je verplicht een DPO aan te nemen. Op woensdag 25 april, exact een maand voor de nieuwe Europese privacywetgeving van kracht gaat, houden we in Van der Valk Hotel Brussels Airport onze eerste internationale DPO Conference.”
De communicatie kon beter
Nog steeds zijn er bedrijfsleiders die denken dat het zo’n vaart niet zal lopen. Of ze denken dat de overheden in België de overtredingen makkelijk door de vingers zullen zien. “Het je-m’en-foutisme blijft bij sommigen inderdaad zeer groot. Wat ze daarbij echter uit het oog verliezen, is dat het een Europese wetgeving betreft. Het is dus niet zozeer de controle van de privacycommissie die ze moeten vrezen, wel de buitenlandse ondernemingen en advocatenkantoren die ook Belgische bedrijven kunnen aanklagen wanneer er misbruik van persoonsgegevens wordt vastgesteld.”
“Het gaat zeker de goede richting uit - laat daar geen misverstand over bestaan - maar anderzijds is er nog een lange weg af te leggen”, zegt Van den Bosch. “Iets zegt mij dat België niet bij de beste leerlingen van de Europese klas zit. In Nederland en Duitsland bijvoorbeeld staan ze al verder in dat hele GDPR-verhaal, om de eenvoudige reden dat de communicatie er veel beter was. Meer vertrekkende vanuit de opportuniteiten en niet - zoals in België is gebeurd - vanaf dag één focussen op de negatieve zaken waardoor iedereen het als iets onaangenaams en vervelends is gaan beschouwen. Dat is heel jammer omdat er zoveel positieve aspecten aan verbonden zijn die de voorbije maanden te weinig werden belicht.”
Focussen op de opportuniteiten
Rien Van den Bosch stelt dat bedrijven die hun data helemaal op orde hebben en perfect weten aan welke spelregels zich te houden naar de buitenwereld toe veel geloofwaardiger en matuurder overkomen. “Bovendien heeft dit een positief effect op de customer service, op voorwaarde dat je eerlijk communiceert met de klant. In die zin zouden bedrijven het GDPR-proof zijn als een soort kwaliteitslabel kunnen uitspelen. Om maar te zeggen dat we er uiteindelijk allemaal beter van worden, niet alleen de consument maar zeker ook de onderneming zelf.”
"GDPR proof zijn is een continu proces. Vandaag alles op orde hebben, is geen garantie dat dit morgen ook nog zo zal zijn"
“Nogmaals, dit vraagt de nodige inspanningen en vooral heel veel discipline. Het is niet omdat je alles geïmplementeerd hebt, dat het GDPR-verhaal voor een bedrijf ineens stopt”, benadrukt hij. “De Algemene Verordening Gegevensbescherming, zoals dat in het Nederlands heet, is geen momentum maar een continu proces. Vandaag alles op orde hebben, is geen garantie dat dit morgen ook nog zo zal zijn.”
Duwtje in de rug
Alle datastromen en procedures binnen de organisatie moeten duidelijk beschreven worden. Veel bedrijfsleiders vallen steil achterover als ze daar voor het eerst mee geconfronteerd worden. “GDPR slaat namelijk niet enkel op de externe maar ook de interne communicatie. Stel dat er iemand komt solliciteren maar uiteindelijk niet weerhouden wordt: wat ga je met die persoon zijn curriculum vitae doen?”
"Eigenlijk volgt de GDPR de flow zoals dit binnen een onderneming zou moeten werken en moeten CEO’s dit zien als een welgekomen duwtje in de rug"
“Al dat soort zaken op orde krijgen, vraagt een serieuze inspanning maar zorgt er wel voor dat je bedrijfsactiviteiten nadien een pak vlotter verlopen. De return on investment is van die aard dat - naast de consument - ook de onderneming er als winnaar uitkomt. Eigenlijk volgt de GDPR de flow zoals dit binnen een onderneming zou moeten werken en moeten CEO’s dit zien als een welgekomen duwtje in de rug.”
Foutieve berichtgeving in de media
In tegenstelling tot wat vaak in de media wordt beweerd, is de wetgeving niet nieuw. “Het is een Europese richtlijn die de databeschermingsrichtlijn (Data Protection Directive) uit 1995 vervangt. Daarbij wordt telkens gezegd dat je vanaf 25 mei 2018 volledig GDPR-compliant moet zijn. Maar ook dat is niet helemaal juist want eigenlijk moest dit al op 25 mei 2016 gebeurd zijn. Die periode van twee jaar was voorzien opdat iedereen zich in regel zou kunnen stellen. Met de toenemende digitalisering heeft men die wetgeving uit 1995 stelselmatig aangepast, om ze in 2016 te finaliseren. De nieuwe deadline die er nu aankomt, is eigenlijk ingesteld om controles te kunnen uitvoeren of klacht in te dienen bij eventuele overtredingen.”
In de praktijk blijkt dat er al eens een loopje wordt genomen met de privacy van klanten. “Het blijft verbazen hoe nonchalant er in sommige organisaties wordt omgesprongen met soms heel vertrouwelijke data”, zegt Van den Bosch. “De reden daarvan is dat er tot op heden geen enkele controle was. Nu gaat men schermen met boetes die kunnen oplopen tot 4% van de jaaromzet, maar je moet al heel lelijk doen om een dergelijke boete effectief te krijgen.”
Inventarisatie van data flows
Het gros van de bedrijven beseft intussen wel dat het menens is. “Maar als CEO’s dan vernemen naar wat er allemaal dient te gebeuren om GDPR-proof te zijn, dringt het pas echt door hoeveel werk die voorbereidingen vragen. Het begint al met bedrijfsleiders die zich een hoedje schrikken wanneer ze tot de vaststelling komen hoe wijd de data verspreid is in hun organisatie. Omdat er redelijk wat onder het begrip ‘data’ valt en het beheer daarvan, zeker bij kmo’s, bijna altijd door één persoon wordt gedaan."
"Een eerste belangrijke stap is een inventarisatie van alle datastromen en het in kaart brengen van wie toegang heeft tot deze data en hoe goed of slecht deze beveiligd zijn. In de meeste gevallen zit daar ook heel wat verloren data tussen of verouderde gegevens die niet meer kunnen gebruikt worden.”
"Eenmaal opgekuist, gaat je database veel relevanter worden en krijg je een duidelijker beeld van wie je bestaande klanten en prospects zijn"
“Bedrijven worden met andere woorden verplicht hun data te gaan opkuisen, wat niet altijd zo evident is. Doordat niet iedereen binnen de organisatie alle details kent of goed weet voor welke doeleinden men alle gegevens aan één persoon moet doorspelen, kan dat best een complexe oefening zijn.”
“Maar”, voegt Van den Bosch er meteen aan toe, “eenmaal opgekuist, gaat je database veel relevanter worden en krijg je een duidelijker beeld van wie je bestaande klanten en prospects zijn.”
Bewustwording begint bij het management
"Elke marketeer kan dan wel beseffen dat er dingen moeten veranderen in functie van de GDPR, als daar door het management veel lichter overheen gegaan wordt, zal de motivatie bij die marketeer snel afnemen. Met andere woorden dient die bewustwording in het eerste plaats voldoende aanwezig te zijn in de directiekamer. Van daaruit moet men een goed zicht hebben op wat er binnen het bedrijf reilt en zeilt op vlak van data en wie toegang heeft tot welke data. Want hoe vaak gebeurt het niet dat iemand en alle beschikbare gegevens gewoon meeneemt wanneer hij de firma verlaat? Zonder dat iemand daar eigenlijk acht op slaat.”
"De bewustwording rond GDRP dient in het eerste plaats voldoende aanwezig te zijn in de directiekamer"
GDPR-trainer Wim Labie wijst op het belang van inductie- en exitgesprekken, iets wat volgens hem heel vaak over het hoofd wordt gezien. “Naast het het verschaffen van de algemene bedrijfsinformatie dien je nieuwe werknemers ook wegwijs te maken in het data management van je organisatie en alle procedures die daarbij horen. Tijdens een exitgesprek kan je dan weer best samen met de vertrekkende werknemer overlopen welke datatoegangen er afgesloten moeten worden.”
"Ik kan ook niet genoeg hameren op het belang van een degelijk vendor management: welk CRM systeem is vandaag in staat om content of andere communicatie, zowel intern als extern, op een eenvoudige manier te registreren?"
Aanpassingen binnen het CRM-systeem
“Eenmaal de GDPR in voege treedt, ga je uiteraard nog altijd mailings mogen uitsturen. Alleen zal de tone of voice van de communicatie met je doelgroep enigszins anders zijn: op een veel transparantere manier waardoor je meer vertrouwen opwekt”, aldus Van den Bosch. “Ook zal iemands e-mailadres niet zomaar in je database mogen belanden, voor elk nieuw contact moeten er duidelijke parameters ingesteld worden. Bijgevolg zullen ook de CRM-systemen een aantal aanpassingen en extra invulvelden krijgen. Om duidelijk aan te geven welke persoon waarvoor gecontacteerd mag worden. Maar ook om te bepalen wie toegang krijgt tot welke data.”
Een marketeer zal niet langer met hagel op een mug mogen schieten in de hoop dat hij iets raakt. "Want net op dat soort zaken gaat men in de toekomst veel strenger toezien. Ook dat is weer een stap vooruit”, aldus GDPR-expert Wim Labie.
Wil jij ook klaar zijn voor het post-GDPR-tijdperk? Schrijf je dan snel in voor een van de vier dagtrainingen (voor Marketeers, Agentschappen, Sales of Ambtenaren) van KOOACH. Ook in-company trainingen op maat zijn mogelijk, rond verschillende thema's, waarbij antwoorden worden gegeven op specifieke noden en vragen van bedrijven.