Update: Ondertussen heb ik een opleiding tot (freelance) DPO gevolgd.


GDPR (General Data Protection Regulation) een bijna magisch 4-letterwoord voor vele bedrijven deze dagen (en bijkomende rillingen als je het uitspreekt). We staan namelijk op minder dan 360 dagen van het ingaan van deze nieuwe Europese Data privacy regelgeving.

Er zijn meer dan genoeg high-overview blogpostjes (die allemaal op elkaar trekken 🙈) over wat de GDPR juist gaat meebrengen, maar veel praktisch en concreet zie je nog niet passeren.

GDPR is niet enkel een bedreiging, maar vooral een opportuniteit, daar er eindelijk zekerheid komt over waar we naartoe gaan met de privacy van ons allemaal en onze klanten. Ikzelf ga me dit najaar ook smijten als Data Privacy Officer (DPO), dus verwacht je hier aan meer blogposten over dit topic (enja die worden praktisch 😉 ).

De Juristen is 1 van de juridische kantoren, die al enkele jaren in deze niche bezig is en op 1 juni brachten ze dan ook met de privacyproef een hoop praktische kennis en informatie bij elkaar over die aankomende GDPR wetgeving.

Met topics gaande van doxxing over malware tot the Dark web, maar evengoed wetteksten was het een boeiende mix van sprekers. Hierbij enkele snippets, die me toch wel weer nieuwe zaken/inspiratie/kennis hebben opgeleverd:

GDPR en social media?

Lang geleden dat ik social media queen Sofie verhalle (@lamazone) nog eens op een podium zag en zij kwam het verhaal van GDPR en social media brengen.

1 constante is er hierbij: er is nog weinig geweten hierover en ook de grote platformen komen er nog niet hard mee naar buiten (tov. Google die er al wel vol mee bezig is).

Belangrijk hierbij is het feit dat jij als marketeer nog steeds de eindverantwoordelijkheid gaat hebben, wanneer je bijvoorbeeld lijsten met emailadressen gaat opladen als custom audience. Begin je dus over die lijsten zeker kritische vragen te stellen (naar toestemming en herkomst van die lijsten).

The Dark web

Computerwetenschapper Jeroen Baert bracht nogmaals een wake-up call rond “the dark web”. Als echte fan-boy van dit “alternatieve dark web” bracht hij een passionele rede over waarom we dit dienen te omarmen met bijvoorbeeld het Tor project en zijn Onion browser.

Ik geef toe dat ik er nog weinig mee heb zitten spelen, maar dit staat nu weer mee op mijn todo-lijstje. Het blijft wel intrigeren, ook al moeten we dat “dark web” niet overschatten met een geschat aantal van 7k-30k websites (wat overeenkomt met 0,03% van het gewone “surface web”).

Deze presentatie was een perfecte inleiding voor het boek waar ik me vanaf morgen op ga storten (mijn jaarlijkse Digital Detox week): American Kingpin over de grootste e-commerce shop op The Dark Web. Benieuwd of het boek verder gaat dan wat sensatie en dieper ingaat op het concept?

Privacy by design and default

Verschillende sprekers brachten “privacy by design” naar voor en wat dit nu eigenlijk gaat inhouden. Bart van Buitenen bracht hierover een mooie samenvattende presentatie.

Met ook wat goede en minder goede voorbeelden. Het nieuws van vorige week van Google, dat ze nu 70% van de creditcardgegevens in de US hebben om zo de match tussen online advertenties en offline sales te kunnen maken was er dan ook bij. Google heeft zelf al aangegeven dat dit ze dit NIET in Europa gaan uitrollen (weetje wel privacy).

Zie ook het consent/agreement verhaal bij de connected sextoys in mijn blogpost over The Next Web.

ePrivacy voorstel

Waar de GDPR een allesomvattende regelgeving is, zijn ze momenteel aan het ePrivacy voorstel aan het werken/lobbyen. Dit is voor mij nog veel meer van belang, daar deze regelgeving handelt over digitale communicatie.

Zo gaat ePrivacy dieper in op cookies (Analytics zou mogen, cookiebanners vervallen maar de browserinstelling van bezoekers wordt heilig) en bijvoorbeeld ook telemarketing (hoera bellen met anonieme nummers gaat niet meer mogen).

Momenteel is dit voorstel in aanmaak, wordt er in oktober 2017 over gestemd en zou dit tegen 25 mei 2018 ook in voegen dienen te treden (al wordt dit toch wel zéér krap).

GDPR en onze Belgische privacycommissie

Van onze Belgische privacycommissie waren zowel Willem Debeuckelaere (voorzitter) als Philippe De Backer, onze staatssecretaris voor privacy en Noordzee(garnalen) waaronder de commissie valt, aanwezig.

Hier keken dan ook vele aanwezigen naar uit, daar De Backer deze week zijn privacycommissie nog even had teruggefloten.

De Belgische privacycommissie (onze Belgische DPA – Data Protection Authority) gaat veranderen in de komende maanden en gaat dan ook een hele rij nieuwe taken krijgen: het certifiëren van DPO’s, meewerken aan sectoriële gedragscodes, het uitwerken van een verder escalatiemechanisme (van klacht over inspectie tot boete en beroep)…
escalatiemechanisme privacycommissie

De verschillende Data Protection Authorities zijn zich trouwens reeds aan het wapenen en de commissies uit BE/FR/NL/DE/ES zijn nu alvast gezamenlijk aan het “oefenen” op Facebook.

De afsluitende woorden van Willem Debeuckelaere waren wel zeer treffend:

Je kan zo al verwachten dat er na 25 mei 2018 een periode van aftasten, proberen en achterpoortjes zoeken zal gaan komen (met als bekendste achterpoortje het gebruiken van data wegens de allesomvattende paraplu legitimate interest/gerechtvaardigd belang).

De zwakste securitylink zijn je werknemers!

1 van mijn Belgische webhelden is zeker @ort, die 1 van zijn leuke projectjes kwam voorstellen, waarbij ze op vraag van een multinational 79% van alle managers hun wachtwoorden ging bij elkaar “hacken”.

Door het bouwen van een fake inlogpagina (op een gelijkaardig domein als het normale company domein) en deze naar de managers te mailen was het een koud kunstje om die wachtwoorden te gaan verzamelen.

Het is in mijn ogen dan ook een belangrijke GDRP-voorbereiding voor elke werknemer/werkgever om eens stil te staan bij die zwakke schakel:

  • Ga je collega’s/werknemers voorbereiden/inlichten/trainen over privacy en security. Wijs iedereen op ZIJN verantwoordelijkheid.
  • Verplicht 2-factor authenticatie (op mailbox, linkedin,…)!
  • Ga het bedrijfsdomein verifiëren in haveibeenpownd.com
  • Zet al je websites (ook die subdomeinen!) over naar https
  • Focus op het wegwerken van te eenvoudige paswoorden bij tools die in het bedrijf worden ingezet (denk aan die duizend marketingtools en services).
  • Check maar eens om te zien hoe de fingerprint van jou browser jou uniek kan identificeren.
  • Zie mijn blogpost met de basis security tips

En nu?

De belangrijkste les voor elke conferentie/event is om nadien zo snel mogelijk duidelijke actiepunten voor jezelf te gaan neerpennen. Hoe begin ik er nu aan?!?

1. Bekijk de mindmap eens met de hele GDPR regelgeving, dat geeft je al een beter overzicht.

2. Philippe De Backer bracht al wat praktische tips van hoe bedrijven zich kunnen beginnen voorbereiden.

3. Philippe De Backer gaf ook aan dat er een overgangsperiode gaat komen voor targeted ads, maar hij zag geen grote toekomst meer voor deze advertenties (of bedrijven die dit als businessmodel hebben door dataverzameling). Ook het samengooien van gebruikersdata bij een fusie (denk Whatsapp en Facebook), zal verder aan banden worden gelegd.

4. Vanuit een marketing standpunt kan je je volgende zaken beginnen afvragen:

  • Kan ik van mijn emaillijsten bewijzen vanwaar ik die adressen heb?
  • Welke tools gebruik ik en in hoeverre zijn zijn GDPR compliant?
  • Heb ik een DPO nodig als gegevensverwerker?
  • Check je formulieren en datacaptatie: heb ik al die velden (zoals een geboortedatum en geslacht) wel echt nodig?
  • Start met het maken van een dataregister (kan evengoed in excel zie deze templates)
  • Start klein. Ik ga bijvoorbeeld eens de oefening doen op mijn Dailybits-activiteiten en netwerk van websites.

5. Cronos security bracht een zeer goede laatste presentatie om het event af te sluiten. Met het nodige realisme, dat jij ook niet klaar gaat geraken tegen 25 mei 2018. Maar dat de nodige stappen wel gezet moeten worden:

  • Riskmanagement uitvoeren met het maken van een risk heatmap
  • Bewustwording in je organisatie brengen
  • Het uitwerken van een privacy plan (denk aan een traditionele tijdlijn met alle onderdelen)
  • Programma opstarten in je organisatie: beheerstructuren, documentatie, continue bewustmaking, processen, tools,..

Een (wazig) voorbeeld van een GDPR plan voor trainingen, data register, privacy policy, DPIA procedures, DPO aanstelling en 3rd parties checks.
GDPR plan van aanpak

6. Besef vooral dat 25 mei 2018 geen hard eindpunt is, maar de start van een hele nieuwe werkelijkheid waar ook daarna zaken gaan veranderen. Ben jij er al mee bezig?

blank

Marketing strateeg en docent (Thomas More/UHasselt). Sinds 2002 reeds techblogger. Marketing strateeg en privacy officer als freelancer en daarnaast ook gewoon papa thuis. Schrijf je in voor de Dailybits nieuwsbrief.

Abonneer
Abonneren op

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

1 Reactie
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
6 jaren geleden

Thanks voor het verslag Herman.
Zit wel ene linkje in dat niet werkt, dat moet deze zijn: https://haveibeenpwned.com 😉

Grt
Stijn