Aftellen naar GDPR: “niet panikeren maar optimaliseren”

Een balkje en pixelatie van de tekst: we hebben het een beetje overdreven, maar zo keken velen van ons twee jaar geleden naar de nieuwe privacywerkelijkheid toen de nieuwe GDPR (General Data Protection Regulation) of Algemene Verordening Gegevensbescherming gestemd werd. Nu de GDPR-mailings ons om de oren vliegen, voelen we druk echter groter worden. We vroegen aan Michaël Peeters, Data Protection Officer (DPO) en MRE-alumnus, hoe rooskleurig de toekomst is. Hij deelt zijn GDPR-kennis o.a. via informatiesessies voor onze vastgoedprofessionals en executive PhD-studenten.

Hoe is jouw expertise tot stand gekomen?

Mijn bedrijf 'Smartbuilding.io' plaatst sensoren en genereert data in gebouwen om aan de hand daarvan het gebruik van de ruimtes te optimaliseren. Met data science als basis voor je bedrijfsactiviteiten keek ik dan ook niet meteen uit naar de wetgeving. Door me in de materie te gaan verdiepen, ben ik steeds meer van die wetgeving gaan houden. Het is best leesbaar als je er wat moeite voor doet.

Samen met mijn vrouw ben ik dan een bedrijf in GDPR projectmanagement ‘Dataprotect.io’ begonnen. Aanvankelijk waren veel bedrijven nog aan het afwachten. Sinds een maand of vier loopt het echt storm. Wat wij doen is de bedrijfsprocessen GDPR-proof maken. Wij stellen in vraag waar en waarom data wordt gegenereerd, hoe die wordt gebruikt en hoe die wordt opgeslagen.

Hoe groot is de nood aan deze wetgeving?

GDPR beschermt persoonsgebonden data van levende personen, meer bepaald het gebruik van verzamelde persoonlijke data voor doelen die voorbij gaan aan de oorspronkelijke reden waarvoor ze  verzameld zijn. GDPR dekt de onwetendheid van mensen die eigenlijk niet beseffen welk gevaar ze lopen wanneer ze hun data delen.

We weten niet wat privacy is want wij zijn ongelooflijk verwend op dat gebied. Levensbedreigende conflicten ten gevolge van een data breach zijn eerder beperkt in België. Misschien is deze luxepositie de reden dat zoveel mensen naïef omgaan met hun persoonlijke gegevens. In landen met een dictatoriaal bewind ligt dit heel anders. Als sommige dictators de data hadden die wij vandaag hebben… GDPR beschermt ons tegen die mogelijke scenario’s op langere termijn. Voor mij is dat een geruststellend gevoel.

Wat is vanaf nu ‘not done’?

Onlangs kreeg ik op een aanvraagformulier bij een vastgoedagentschap de vraag hoeveel ik verdien. Dat is in principe geen informatie die je nodig hebt om mijn droomhuis te vinden. De prijsklasse wel, maar mijn loonbrief is niet relevant voor de makelaar. Toen ik hem hiermee confronteerde was het antwoord ‘we zetten het in het systeem en zien wel...’ Daar moet echt een beter antwoord op komen. Of nog beter, verzamel enkel de data die je echt nodig hebt.

Ook op de site van mijn artsen groepspraktijk staat er op het formulier om een afspraak te maken vaak ‘naam’ en ‘reden’. Dat is sensitieve informatie die niet altijd goed beveiligd is. Op de website van een familiefotograaf merkte ik dan weer dat je gewoon de URL kunt aanpassen en heel de database kunt zien. Toen ik de eigenaar wees op het probleem was het antwoord ‘wie gaat zich daar nu mee bezig houden’, maar je kan er niet vanuit gaan dat data niet in de verkeerde handen vallen.

Een bekend voorbeeld van ‘goede intenties’ is het gebruik van klantenkaartgegevens door de Amerikaanse keten Target. Die stuurde bepaalde klanten een felicitatie voor het kindje dat verwacht werd. De geadresseerden waren een vader en zijn tienerdochter. De dochter bleek zwanger te zijn, maar had het alleen nog niet verteld. Het koopgedrag van de dochter was in die mate veranderd dat men in Target kon concluderen dat ze zwanger was.

Is er nog een (bedrijfs)leven na 25 mei?

Minder data is natuurlijk altijd slechter vanuit een businessperspectief, maar correct omgaan met data schept vertrouwen en zeker in sectoren als vastgoed is vertrouwen nog altijd zeer belangrijk. Secundair maakt het je processen ook mooi slank en geeft het beroepsrust. De nieuwe wetgeving zorgt er alleen voor dat we bewuster en transparanter omgaan met de data die we gebruiken. Als je een bonafide bedrijf bent met een correct doel zou er geen probleem moeten zijn.

Vastgoedmakelaars, architecten en ingenieursbureaus beschikken over enorme hoeveelheden persoonlijke informatie. Ze kennen je huis en weten hoe het ingericht is, hoe duur het was, waar de kluis zit en welk alarmsysteem je hebt. Als het plan van een huis met een panic room gevonden wordt op de server van de architect, geklasseerd onder naam of adres, zou je niet blij zijn.

Een ontevreden klant kan daarnaast een right to access vragen, waarbij alle data van die klant moet geleverd worden. Het is dan ook belangrijk dat de informaticasystemen hierop zijn voorbereid. Ook het ongewild vernietigen van data is een data breach. Je kan dus beter zorgen dat je archieven in orde zijn. Het gaat dan niet enkel om digitale archieven, maar ook om papieren archieven en digitale back-ups.

Nu de deadline nadert: waar moeten we op focussen?

Er is nog geen rechtspraak in GDPR dus het is afwachten hoe de rechter de wetten gaat interpreteren. Consequenties zullen beantwoorden aan de schaal van de inbreuk. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer kan reageren op klachten, controles uitvoeren en bedrijven zijn verplicht om een datalek binnen 72 uur te melden en soms ook om een register bij te houden van alle handelingen die ze doen met persoonlijke data. Op de site van de commissie staat een helder stappenplan dat aangeeft wat je als bedrijf zou moeten doen. Drie stappen daaruit zijn het belangrijkste. 

Wil jij op de hoogte zijn en blijven van actuele topics in vastgoed?