Tax
Mobility
Terug

GDPR zet aan tot transparantie

Rethink Privacy

KPMG rethink
Privacy

Nu de digitalisering op volle toeren draait en bedrijven steeds meer kiezen voor een data-drivenaanpak, komt Europa met een nieuwe, striktere privacyverordening, de GDPR. Luidt de GDPR het einde in van de innovatieve businessmodellen? Zeker niet, zeggen de experts van KPMG en K law. ‘Maar de manier waarop bedrijven omgaan met de GDPR wordt een onderscheidingsfactor.’

Na de digitalisering van de bedrijfsprocessen is vandaag het tijdperk van data aangebroken. Ondernemingen ontdekken de meerwaarde van gegevens: met de analyse van data kunt u het productieproces optimaliseren, de meest efficiënte supply chain uittekenen, of heel gericht producten en diensten marketen. ‘We evolueren naar een wereld waar kwalitatieve data fundamenteel zullen zijn voor ondernemingen. Er wordt wel eens gezegd dat als uw bedrijf vandaag nog niet data-driven zou zijn, het dat morgen wél is’, zegt Kara Segers, manager Data Protection & Privacy bij KPMG.

Gegevens worden erkend als de waardevolle assets die ze echt wel zijn.- Kara Segers

Maar de verwerking van steeds grotere hoeveelheden data en de nieuwe technologische mogelijkheden om verschillende soorten gegevens te verzamelen én aan elkaar te koppelen, veroorzaakt ook steeds grotere risico’s. Een gegevenslek houdt niet alleen financiële en operationele risico’s in, maar ook het risico op reputatieschade. Als plots de creditcardgegevens van klanten te grabbel worden gegooid, verliezen zij hun vertrouwen, en ligt uw imago bij potentiële klanten aan diggelen.

GDPR: de logische stap

Op 25 mei 2018 wordt de ‘Algemene Verordening Gegevensbescherming’ van kracht, of de General Data Protection Regulation of kortweg ‘GDPR’. De GDPR bepaalt hoe ondernemingen, overheden en organisaties moeten omgaan met persoonsgegevens. Dat zijn álle gegevens die een natuurlijk persoon kunnen identificeren.

Kara Segers, manager Data Protection & Privacy bij KPMG

Kara Segers, manager Data Protection & Privacy bij KPMG

Wat zijn de belangrijkste aspecten zijn van de GDPR? Tim Fransen, advocaat bij K law en gespecialiseerd in privacy en e-commerce, noemt in eerste instantie de afdwingbaarheid. ‘De sancties tot 20 miljoen euro of 4 procent van de wereldwijde omzet van het betrokken bedrijf springen uiteraard in het oog. Tot vandaag was de privacywetgeving redelijk vrijblijvend, waardoor privacy ook laag op de to-dolijst stond. Dat zal sowieso veranderen.’ De GDPR moet ook een level playing field creëren in Europa en heeft in principe dezelfde uitwerking in alle lidstaten, al waarschuwt de specialist wel dat uit de praktijk nog moet blijken hoeveel verschillen er tussen de lidstaten blijven bestaan.

De kleine lettertjes verdwijnen. Bedrijven moeten helder, duidelijk en op een niet-juridische manier zeggen wat ze gaan doen en welke gegevens ze daarvoor van jou nodig hebben.- Tim Fransen

Daarnaast valt op dat de GDPR het individu centraal zet. Kara Segers legt uit: ‘De GDPR is gemaakt om individuen – U en ik – te beschermen. De verordening geeft ons meer controle, inzage en transparantie over de persoonsgegevens die ondernemingen links en rechts over ons verzameld hebben. Het biedt individuen de mogelijkheid om hun rechten ook daadwerkelijk uit te oefenen, zoals het recht tot inzage, rechtzetting of verwijdering.’

Tim Fransen, advocaat bij K law

Tim Fransen, advocaat bij K law

Segers benadrukt dat de GDPR geen onderscheid maakt tussen gegevens over klanten, personeelsleden, leveranciers of wie dan ook: van zodra EU-burgers betrokken zijn, zijn hun persoonsgegevens beschermd. Dat wil zeggen dat élke onderneming die gegevens verwerkt van EU-burgers, binnen de Europese Unie of daarbuiten, met de verordening wordt geconfronteerd.

Het einde van de kleine lettertjes

De vraag is uiteraard: snijdt de GDPR ondernemingen af van hun data-driven toekomst? Neen, klinkt het bij de experts. ‘De GDPR is een rem op de excessen, een rem voor ondernemingen die bijvoorbeeld enorm veel data verzamelen zonder eigenlijk te definiëren waar ze die voor willen gebruiken’, aldus Tim Fransen. ‘Het zet aan om heel transparant te zijn. Zo kan een onderneming aan haar klanten of gebruikers voorstellen om hun gebruikservaring sterk te verbeteren of bijkomende innovatieve diensten aan te bieden. Tegelijk moeten bedrijven aangeven welke specifieke persoonsgegevens daarvoor nodig zijn en welke limieten ze hanteren..’

De verordening geeft ons meer controle, inzage en transparantie over de persoonsgegevens die ondernemingen links en rechts over ons verzameld hebben.- Kara Segers

‘De manier waarop bedrijven omgaan met de GDPR wordt een onderscheidingsfactor’, vervolgt Kara Segers. ‘Ondernemingen die aangeven dat de privacy van hun klanten of werknemers belangrijk is, die duidelijk maken dat ze al het mogelijke doen om de gegevens van individuen te beschermen, bouwen op die manier ook aan hun merk. De GDPR bevat bovendien de mogelijkheid om je binnenkort te laten certificeren en een European Data Protection Seal te verkrijgen. Zowel binnen als buiten de grenzen van de EU kijken bedrijven naar verdere ontwikkelingen rond certificering en hoe ze deze kunnen gebruiken als ondersteuning van hun merk.’

En dus zullen ondernemingen in het GDPR-tijdperk helemaal anders omgaan met privacy. Slimme ondernemingen bewaren niet langer zomaar álles, maar besteden aandacht aan datamanagement, information life cycle management, data quality..., geeft Kara Segers aan. ‘Gegevens zullen erkend worden als de waardevolle assets die ze echt wel zijn. Gevolg? Ondernemingen zullen bijvoorbeeld meer belang hechten aan de kwaliteit en duurzaamheid van hun gegevens.’ Aan de juridische kant ziet Tim Fransen de typische ‘kleine lettertjes’ verdwijnen in het licht van meer transparantie. ‘Die ellenlange onleesbare privacy policy wordt iets van het verleden’, legt hij uit. ‘Bedrijven moeten helder, duidelijk en op een niet-juridische manier uitleggen wat ze doen met jouw gegevens en welke daarvoor nodig hebben. Daardoor zal de bewustwording bij individuen – die vandaag nog te weinig weten wat er met hun gegevens gebeurt – vergroten.

(K law cvba is een onafhankelijk advocatenkantoor en vormt een kostengroepering met KPMG Belastingconsulenten CVBA)

Gevoeligheden over privacy

  • Minder dan 20% van de consumenten wil gegevens delen over zijn online zoekgeschiedenis, inkomen, locatie, adres of medische gegevens.
  • 55% van de consumenten geeft aan een online aankoop al eens niet te doen vanwege bezorgdheden omtrent privacy.
  • Ongeveer de helft zou een deel privacy inruilen voor gratis of goedkopere producten.

(Bron: enquête door KPMG van bijna 7.000 consumenten in 24 landen)

Tax

‘Wie wat vooruitkijkt, ziet dat we in de fiscaal-juridische sector nog veel disruptie moeten ondergaan. Fiscaliteit wordt een data-driven beroep.’

Mobility

‘Het antwoord is flexibiliteit, waarbij je voor de werknemers alle opties in kaart brengt en hen adviseert.’