Transcript
We hebben de GDPR-wetgeving nog niet verteerd, of Europa komt met een nieuwe vordering. Dit keer over ePrivacy. Tijd voor een update met Sirius Legal advocaat, Bart Van den Brande.
Dag Bart, welkom terug in de studio.
Dag Kevin.
Een tijdje geleden zat je hier om GDPR aan te kondigen. Misschien om daar nog even op terug te gaan, hé. Kunnen we nog even kort herhalen wat GDPR is, wat de basisregels zijn? En waarom dat zo belangrijk is voor ons?
Zal ik heel kort proberen, Kevin. We zijn bijna een jaar later nu, hé. Mei 2018 was de GDPR-deadline. De vaststelling is dat heel wat bedrijven, eigenlijk, het voorbije jaar niet veel gedaan hebben. Dat er nog heel wat misverstanden bestaan bij bedrijven, over wat die GDPR nu eigenlijk is.
En, als ik dat heel kort moet samenvatten: dan brengt GDPR een aantal verplichtingen met zich mee, voor bedrijven, op twee vlakken.
Enerzijds veroorzaakt die verordening een aantal administratieve verplichtingen. Je moest een dataregister aanleggen. Je moest een aantal contracten herzien, puur administratief.
Maar het tweede, en daar gaan we het vandaag ook een beetje over hebben, denk ik, heel die GDPR wou eigenlijk een soort van mindshift realiseren bij bedrijven. Bedrijven beter doen nadenken over: welke data heb ik? Waar komen die vandaan? Kan ik het wel verantwoorden dat ik die heb? Kan ik het wel verantwoorden, dat ik die blijf gebruiken, of doorgeef aan derden?
En wat heel die verordening met zich mee bracht, was eigenlijk een verplichting om die verantwoording te documenteren. Zodat, als er achteraf klachten zijn, dat je kan uitleggen, waarom je, bijvoorbeeld, geboortedata van mensen verzameld hebt, terwijl je die, eigenlijk, misschien niet nodig hebt.
En, het jammere is, dat we een jaar later moeten vaststellen, dat heel veel bedrijven daarmee niet aan de slag gegaan zijn. Want, we zien wel degelijk een toename van het aantal klachten en discussies.
En bedrijven, die niet op tijd, voor zichzelf, die mindshift maken en die denkoefening intern maken, die gaan op een gegeven ogenblik, jammer genoeg, toch wat problemen hebben, vrees ik.
Nu, wat die problemen betreft, hé. Er werd met tromgeroffel aangekondigd: daar gaan torenhoge boetes tegenover staan. We horen daar niet meer zoveel van, hé.
We horen daar in België nog niet zoveel van, maar ik heb, niet zolang geleden eigenlijk, een overzichtje gemaakt. Over de klachten en boetes, in verschillende landen in Europa. En voorlopig was België het enige land, waar er eigenlijk niks gehoord wordt over klachten en boetes.
Voorlopig, neen. Het ging hier een beetje trager, om een aantal redenen, dan in de buurlanden. België is een moeilijk land.
Je zit met evenwichten, tussen Gemeenschappen en Gewesten. En taalevenwichten die, onder andere in de raad van bestuur van die gegevensbeschermingsautoriteit, moesten gerespecteerd worden. Dus, het was een beetje een probleem van benoeming van bestuurders.
Maar we zien dat in Frankrijk, in Duitsland, in Nederland, echt al heel hoge boetes opgelegd zijn. Heel vaak ook. En niet alleen aan Facebook en aan Google. Maar ook aan kleinere bedrijven, omdat ze, bijvoorbeeld, gegevens verzameld hebben, zonder vooraf toestemming te vragen. Of omdat ze gegevens gebruikt hebben voor doeleinden, waarvoor ze ze eigenlijk niet mochten gebruiken. Of omdat ze niet gezorgd hebben, voor de veilige opslag van gegevens.
En dat is eigenlijk hetgeen, dat het meeste boetes en klachten opgeleverd heeft, tot nu toe.
Datalekken.
Ja, datalekken, data breaches.
Omdat dan persoonsgegevens op straat komen te liggen.
Omdat dan persoonsgegevens op straat komen te liggen. En omdat die verordening de verplichting oplegt, om te zorgen dat dat niet kan gebeuren. Of althans: te zorgen dat de kans dat dat gebeurt, zo klein mogelijk gemaakt wordt.
Ja, want, allez ja, als het Pentagon gehackt kan worden, dan, als kleine zelfstandige...
Er zijn ook limieten aan wat mogelijk is.
Ja, natuurlijk, niemand kan het onmogelijke doen, hé.
Maar, wat je nu hebt, is dat, als er een datalek is, dan moet je het melden aan de overheid. En de eerste vraag, vanuit de overheid, is dan: toon mij aan, dat je al het nodige gedaan hebt, om de kans dat dit kon gebeuren, te minimaliseren.
En wij hebben het voorbije jaar bij 10, 12, 14 - ik ben de tel kwijt - cliënten, data breaches gezien. En de vaststelling is eigenlijk altijd, dat iemand ergens een domme fout gemaakt heeft. Die te voorkomen was. En dat gaat in de toekomst, wel degelijk voor boetes zorgen.
Veel bedrijven, enfin, ik heb toch die indruk, dat veel bedrijven het ook niet durven melden. Uit schrik voor die boetes. Maar als je je huiswerk goed gedaan hebt...
Dan heb je weinig te vrezen. We zien, vreemd genoeg, ook, dat het aantal meldingen van data breaches in België, tien keer lager ligt, dan in Nederland en Frankrijk. Terwijl ik me niet kan inbeelden, dat er tien keer minder datalekken zijn. We zijn niet zoveel slimmer, dan de rest van Europa.
Dus, het is een beetje een cultuur, die nog niet ingebakken zit, denk ik. Mede door het feit, dat er het voorbije jaar geen controles geweest zijn.
Want wat je in Nederland en Frankrijk wel ziet, is dat er proactief controles zijn. In Nederland: de 10 grootste verzekeraars worden in een benchmarktest gecontroleerd, naast elkaar gelegd. De ziekenhuissector, de automobielsector, wordt systematisch gescand.
En dan zie je bij bedrijven natuurlijk de reactie van: oh, ik moet ook mezelf in regel stellen. En dan hoef je ook niet bang te zijn, om een data breach te melden, als het zover is. En dan worden ze effectief gemeld. Wij zijn daar nog niet.
Om een aantal jammere redenen, maar het is nu wel tijd, om daarmee aan de slag te gaan.
Vorig jaar is iedereen spontaan op de delete-knop gaan staan, wat z'n database betrof.
Paniek: GDPR komt eraan. De helft van de e-maildatabase de vuilbak in.
Was dat zinvol?
Dat was, achteraf gezien, niet zo verstandig. En we hebben vorig jaar ook geprobeerd, om cliënten daarin proactief bij te staan. Om te zorgen dat ze geen domme beslissingen namen.
Wat die verordening eigenlijk van je verwachtte, was dat je je database een keer ging bekijken. En dat je ging onderzoeken, vanwaar contactgegevens kwamen. En de vaststelling is, dat, als je destijds toestemming gevraagd had aan mensen, om gegevens te mogen gebruiken...
Dat is maar één van de gevallen, waarin je gegevens mag gebruiken. Soms heb je helemaal geen toestemming nodig. Voor bestaande klanten, bijvoorbeeld.
Als je toestemming gevraagd had, dan moest je die vanaf eind mei kunnen bewijzen. En als je die niet kon bewijzen, omdat je die destijds nergens geregistreerd had, dan moest je opnieuw proberen, om die toestemming te pakken te krijgen.
Wat mensen heel vaak gedaan hebben, is, op een database van 10.000 contacten, gewoon 10.000 mails uit te sturen: hey, mag ik je in de toekomst nog blijven contacteren? En het probleem is dat: wie niet ja zegt, heeft neen gezegd.
Ja, want hoeveel honderden van die mails, hebben we allemaal niet gekregen?
Welja, en dan moet je, als je dan in online marketing zit, en je kent de click and open rates van commerciële mailings, dan weet je dat, van de 10.000, dat er 9.500 verloren zijn, hé.
Terwijl, wat je eigenlijk had moeten doen, was een keer kijken van: ik heb 10.000 contacten in mijn database. De helft daarvan zijn bestaande klanten, die mag ik sowieso blijven contacteren. De helft daarvan zijn aangekochte gegevens, van mijn data broker. Daar heb ik de garantie, dat ik die mag gebruiken, dus die moet ik ook niet contacteren. Een aantal heb ik misschien, achteraf gezien, niet meer nodig, want dat zijn contacten van 20 jaar geleden, die toch al lang niet meer relevant zijn. Die haal ik eruit.
En dan moest je van de 10.000 contacten, misschien 1.000 mensen de vraag gesteld hebben: mag ik u blijven contacteren in de toekomst? En dan was je er 500 kwijt geweest, in plaats van 5.000.
Ja, bedrijven die nog niet met GDPR aan de slag zijn: het is nog altijd zinvol, om daar nu voor in actie te schieten.
Het is nog altijd zinvol, om daarmee in actie te schieten. Omdat precies de controles en de boetes, er ongetwijfeld aan zullen komen in de toekomst, enerzijds.
En omdat steeds vaker, naarmate meer bedrijven zich in regel gesteld hebben, één van de implicaties van die verordening is, dat ik...
Ik mag als bedrijf eigenlijk niet meer samenwerken, met een ander bedrijf, dat niet veilig met mijn gegevens kan omgaan. In de eventsector zal je steeds vaker zien, dat klanten, die een opdracht geven om een event te organiseren, van het bedrijf, van de organisator, verwachten, dat die kan garanderen dat die al het nodige gedaan heeft, om veilig met mijn klantengegevens, met mijn personeelsgegevens, om te gaan.
En op een gegeven ogenblik gaan bedrijven dan echt zeggen van: sorry, als u niet oké bent, als u niet in regel bent, dan kan ik met u niet samenwerken. Want het risico, dat ik daarvoor boetes krijg, is veel te groot.
Dus dat is de reden, eigenlijk is dat de echte reden, puur commercieel, om jezelf in regel te stellen. Veel meer misschien, dan de boetes en...
Jullie hebben er een toolkit voor gemaakt, we zullen die link nog eens...
Wij hebben daar destijds een GDPR toolkit voor gemaakt, die bedrijven kan helpen om zichzelf, voor een redelijk bedrag, in regel te stellen.
We zien daar dat er, de voorbije twee jaar, consultancytarieven van 1200 - 1300 euro per dag en dan moeten we 20 - 30 dagen bij u komen zitten. Dat is volgens mij niet nodig.
Je moet zelf, intern, een ernstige oefening doen. En we hebben een aantal documenten, die daarbij kunnen helpen.
We zullen die link er nog eens even bijzetten.
Perfect.
Reden dat we vandaag samenzitten, is dat de Europese Unie een nieuw ei gelegd heeft. Ze komen met iets nieuw: de EPrivacy Regulation.
Waarover gaat dat dan? Is dat terug GDPR, of...
Wel, om te beginnen: Pasen is voorbij, maar het ei is nog niet gelegd, in dit geval. Het ei is nog onderweg.
Het gaat eigenlijk over een aantal regels, rond het gebruik van persoonsgegevens, die nog niet in die GDPR zaten. En hier gaat het specifiek over een viertal gebieden.
Eentje is minder interessant: dat gaat over het elektronische briefgeheim. Dat is eigenlijk...
In West-Europa is dat geen issue meer. Maar in een aantal landen stelt zich de vraag, of een e-mail wel dezelfde bescherming geniet, dan een brief. Een brief mag je niet lezen, van iemand anders. Bij ons stelt dat weinig dingen.
Blijven er drie dingen over, die in de EPrivacy verordening nog geregeld gaan worden.
Eentje gaat over direct marketing regels. Hoe, wanneer en waar, mag ik iemand een elektronisch bericht sturen? Mail, WhatsApp, eender wat. Die regels bestaan vandaag al, op basis van een oude richtlijn.
Dat is de opt-in wetgeving, dan?
Dat zijn de regels rond opt-in, eigenlijk, in België, inderdaad.
Bestaande klanten mag ik sowieso mailen. Andere mag ik alleen mailen, als het ofwel een anoniem e-mailadres is, info@eventplanner.xx, bijvoorbeeld. Of als mensen een opt-in gegeven hebben.
Die regels verschillen nu in gans Europa, van land tot land. En dat is zeer, zeer vervelend, voor wie in verschillende landen actief is. Want in sommige landen heb je een dubbele opt-in nodig. In andere landen niet. In sommige landen ligt de bewijslast bij diegene, die de opt-in gekregen heeft. In andere landen ligt dat omgekeerd. Dus, dat loopt uit elkaar, van lidstaat tot lidstaat.
En dat wil men nu gelijktrekken in gans Europa.
Op het eerste zicht, voorlopig, in de ontwerpteksten, verandert er voor België niet zo heel erg veel. Is het vooral in een aantal andere landen, dat de regels gelijkgetrokken worden, aan wat we vandaag in België kennen. Dat is één stukje dat erin gaat zitten.
Twee andere, die voor de meeste mensen toch wel relevant zijn, zijn...
Het tweede hoofdstuk gaat rond cookies, eigenlijk.
Ja, daar krijgen we nu allemaal van die pop-ups, op elke website.
Ja, iedereen wordt gek van die pop-ups. Gebruikers worden gek van die constante meldingen, dat we cookies gebruiken.
Ik doe heel veel in de e-commerce wereld, bijvoorbeeld. Webshop uitbaters worden daar gek van. Want er is een eenvoudige wet in de e-commerce, die zegt dat hoe vaker een klant moet klikken, voor hij besteld heeft, hoe groter de kans dat hij niet bestelt. Dus, elke klik is weggegooid daar.
Dus, men heeft nu begrepen, in Europa, dat die regels eigenlijk niet werken. Dat dat geen zin heeft. Niemand leest die waarschuwingen.
Nee, je klikt op akkoord.
Voilà, en als je ze leest, dan begrijp je er toch niets van.
Dus, dat heeft geen zin. Dus, men wil dat nu vervangen, veranderen, door een systeem, waarbij in de browser settings, bij het installeren van de browser, de eerste keer...
En je zal die in de toekomst moeten installeren, want onder andere Google gaat verplicht worden, om mensen de keuze te geven, over welke browser ze willen installeren.
Om daar, de eerste keer te zeggen: bepaalde categorieën van cookies aanvaard ik wel. En andere aanvaard ik niet. Ook: van bepaalde uitgevers aanvaard ik wel en van andere uitgevers aanvaard ik niet.
Dan moet je dat één keer doen, op het moment dat je je laptop, of je computer, voor de eerste keer gebruikt.
En dan geldt dat meteen voor altijd.
En dan geldt dat meteen voor alles en voor iedereen.
Hoe dat concreet geïmplementeerd gaat worden, daar is nog even denkwerk voor nodig. Het is daarom, dat die verordening nog niet klaar is, denk ik, ook. Omdat zich daar een aantal vervelende vragen stellen.
Eén is, ik stel mij dan, met alle respect voor mijn moeder, ik stel mij dan mijn moeder voor. Die waarschijnlijk nog een Internet Explorer uit 2010 gebruikt. Die geen flauw idee heeft, wat cookies zijn. Laat staan dat ze de instellingen van haar browser zou vinden, om daar te gaan kiezen, welke cookies, en welke niet.
Dus, ik vrees, dat dat voor veel mensen, technologisch een beetje te hoog gegrepen is.
Ja, of dat je ook het risico krijgt, dat mensen dan maar gewoon alles gaan afvinken. En daardoor functionaliteiten verliezen.
Ja, mensen alles afvinken. Of mensen blindelings alles aanvaarden. Terwijl we de voorbije jaren...
Heel wat van de GDPR-boetes, die we gezien hebben in Frankrijk, bijvoorbeeld, zijn eigenlijk ook gelinkt aan het gebruik van cookies.
Want je hebt enerzijds EPrivacy verordening, die cookies gaat regelen. Maar als je daarmee persoonsgegevens verzamelt, dan val je plotseling terug onder GDPR. Over wat je met die persoonsgegevens doet. Surfgedrag van mensen, bijvoorbeeld. Aankoopgedrag van mensen. Daarmee worden commerciële profielen opgebouwd. Die commerciële profielen worden verkocht aan adverteerders.
Dus, daar ligt men in Europa serieus van wakker, over hoe dat vandaag eigenlijk achter de schermen gebeurt.
Dus, dat is een tweede stuk. Het zou moeten vereenvoudigen. Maar tegelijkertijd, ik...
Het is een beetje afwachten hoe dat gaat gebeuren, Kevin.
Omdat, één van de dingen, waar ik mee sukkel, is: ik vertrouw sommige bedrijven, en andere bedrijven, die ik niet ken, vertrouw ik niet. Dus, ik wil eigenlijk individueel kunnen kiezen. Op het moment dat ik op de website van een bedrijf kom, ik zal geen namen noemen: jou ken ik, ik heb bij jou al besteld, voor mij geen probleem, jij mag met mijn gegevens doen, wat je wilt.
Maar als ik op zoek ben naar een leverancier, die ik niet ken, van een product, dat ik niet vaak koop, en ik kom op een buitenlandse website terecht, en ik ken dat bedrijf niet, dan wil ik misschien zeggen: neen, bij jou niet.
En die individuele keuze verlies je een beetje, in de ontwerpen van de commissie, zoals ze nu voorliggen. Van de EPrivacy verordening.
Maar, er komen...
Enfin, ik zit zelf in die IT-sector, hé. Er komen vanuit de Europese Commissie heel vreemde voorstellen. Die copyright is nu ook weer iets.
Sommige dingen zijn zeer goed. Sommige dingen zijn bedenkelijk, als je weet hoe het technisch werkt. Heeft het dan te maken met...
Ik weet niet of je de bevraging van Mark Zuckerberg in Amerika gezien hebt? Waar parlementsleden vragen stellen, waar je van denkt van: ja, weet men niet waarover het gaat? Of...
Ja, ik vrees dat dat heel vaak het geval is.
Ik ben één van de mensen, die wel nog heel veel geloof heeft in Europa. En heel veel vertrouwen heeft in de meeste van onze Europarlementariërs. Maar het Europees Parlement is samengesteld, uit 750 - 760 mensen uit gans Europa. Die niet allemaal verkozen zijn, omwille van hun technologische kennis. Die mensen komen uit allerlei achtergronden. En hebben vaak niet de technische kennis, die vereist is. En we zien, onder andere ook bij GDPR, als we gaan zien naar de discussies die daaraan vooraf gegaan zijn, dan zie je dat dat heel vaak gaat over dingen, die weinig met de technische werkelijkheid te maken hebben.
Anders was die cookiewetgeving er nooit geweest, ondertussen acht jaar geleden.
Toch niet in de vorm, zoals ze nu bestaat.
Toch niet in de vorm, zoals ze nu bestaat. Dat was een vergissing. En het heeft dan acht jaar geduurd, voor men nu inziet van: ja, ja, eigenlijk is dat een vergissing, we moeten dat bijsturen.
Maar dat gebeurt dan gelukkig wel.
Dat gebeurt dan gelukkig, maar daar gaat heel veel tijd over.
Mensen vragen mij ook vaak, over GDPR: ze gaan dat toch bijsturen?
Ik zeg: ja, dat zal ongetwijfeld bijgestuurd worden. Maar dan zijn we tien jaar verder.
Dus, de volgende tien jaar...
En ondertussen kan je al wel een boete gehad hebben.
...zitten we met de regels.
Die gaan ze niet terugbetalen, waarschijnlijk.
Bart. EPrivacy, wanneer komt dat er dan aan?
Wel, er was eigenlijk eerst gepland, om die in mei 2018 klaar te hebben.
Dat is duidelijk niet gebeurd. Volgende maand zijn er Europese verkiezingen, dus nu gebeurt er ook even niks. Maar we gaan ervan uit, dat dat tegen begin 2020, normaal gezien, onder alle voorbehoud, erbij zou moeten komen. En omdat heel veel van die regels...
Het derde hoofdstukje dat daarin zit, gaat dan, bijvoorbeeld, over telemarketing, telefonische prospectie. Waar de consument beter beschermd zal zijn. Al die regels hangen samen met GDPR.
Dus, wie nog niet gestart is met zijn voorbereidingen, op het correcter omgaan met persoonsgegevens, kan misschien best deze oefening, ineens, erbij pakken en de twee samen bekijken. In de loop van 2019, begin 2020. Om problemen te vermijden.
Oké Bart, dank je wel voor je komst naar de studio.
Graag gedaan.
En u, beste kijker, bedankt voor het kijken en/of luisteren en alweer tot volgende week.