De Oostenrijkse gegevensbeschermingsautoriteit DSB oordeelde in een procedure tegen een Oostenrijkse website en tegen Google LLC, dat het gebruik van Google Analytics in alle omstandigheden in strijd is met GDPR. We moeten je niet vertellen dat zo’n beslissing een kleine bom legt onder het online landschap in de ganse EU, inclusief België. Wij kregen dan ook heel wat telefoontjes van ongeruste ondernemers. Want deze beslissing gaat immers verder van Google Analytics, maar viseert eigenlijk alle Amerikaanse tools. Je ontdekt er alles over in deze Sirius.Talks met Bart Van den Brande.
Je data export compliance helemaal op punt stellen?
Je hebt allicht een heleboel andere uitdagingen die jouw tijd vragen, niet? Wij zijn DPO van internationaal actieve bedrijven en organisaties en adviseren talloze buitenlandse en Belgische bedrijven inzake data export. We bundelen onze kennis in een handige, pragmatische en efficiënte service om de risico’s verbonden aan data export krachtig en snel onder controle te krijgen voor jouw bedrijf.
Transcript
Digitale professionals die de voorbije maanden het juridisch nieuws gevolgd hebben, hebben ongetwijfeld een aantal keer met de wenkbrauwen gefronst. Er zijn beslissingen genomen die heel wat marketing tools en heel wat tools die jij dagelijks gebruikt op je website, in je sales of voor je klantenbeheer blijkbaar eigenlijk illegaal maken.
De meest in het oog springende beslissing daarrond de voorbije maanden was van Google Analytics, die in een aantal Europese lidstaten het voorwerp geweest is van gerechtelijke beslissingen waarbij bedrijven beboet worden omdat zij Google Analytics gebruiken. En we kregen heel veel reacties van ondernemers die ons met veel frustratie in de stem zeggen dat dat voor hen een groot probleem is en die niet snappen waar dat vandaan komt.
Waar komt dat eigenlijk vandaan? Wel, je moet weten dat er een soort van machtsstrijd aan de gang is. Eigenlijk tussen enerzijds de Europese Unie die graag een voorbeeld wil zijn in gegevensbescherming, in privacybescherming die de belangen van de burger altijd centraal plaatst. En anderzijds eigenlijk de grote techbedrijven die vooral in de Verenigde Staten zitten, in Californië zitten en voor wie data koopwaar is en die zoveel mogelijk data willen verzamelen en op zoveel mogelijk manieren ook willen kunnen monetariseren, gebruiken.
En daar creëert zich een spanningsveld de voorbije jaren waarbij de Europese Unie zegt: let op, want als jij persoonsgegevens over klanten, over prospects over websitebezoekers wil delen met zo’n bedrijven in de Verenigde Staten, dan is dat wat men onder GDPR, onder gegevensbeschermingswetgeving noemt data export, het exporteren van gegevens buiten de Europese Unie. En dat mag zomaar niet, zegt men in Europa. Dan zijn er strenge voorwaarden, want wij gaan ervan uit dat jouw persoonsgegevens buiten Europa nooit even veilig, even correct, even ethisch verwerkt worden dan binnen de Europese Unie. Is dat zo of is dat niet zo? Daar kan men zich vragen over stellen of daar kan men over in debat gaan.
Maar de vaststelling is dat de wetgeving wel is wat ze is. En die hele machtsstrijd, die speelt zich af boven de hoofden van de kleine ondernemer. En als kleine ondernemer word je geconfronteerd met het feit dat al die tools die jij dagelijks gebruikt om jouw bedrijf performant te maken, dat die allemaal potentieel juridisch gezien een probleem zijn. En het enige wat je dan kan doen als ondernemer in onze ogen is daar voorzichtig, correct en zorgzaam mee omgaan en een grondige oefening doen.
Welke tools gebruiken wij? Welke persoonsgegevens stoppen wij daarin? Gaan die buiten de Europese Unie of niet? Zijn er Europese alternatieven denkbaar voor die tools? En als dat niet zo is, hoe kunnen wij zorgen dat die data toch zo veilig mogelijk verwerkt wordt? Kunnen wij onze data anonimiseren? Kunnen wij onze data encrypteren om te zorgen dat buitenlandse overheden bijvoorbeeld geen inzage kunnen krijgen? Dat is een onderdeel van het probleem, geen inzage kunnen krijgen in die data, of dat bedrijven als Google, als het over Google Analytics gaat, die data niet kan hergebruiken voor andere doeleinden. Je moet daar zorgzaam en voorzichtig mee omgaan en je moet ook weten dat je daar weinig aan kan doen.
Dat is een machtsstrijd die boven onze hoofden gebeurt, waarbij men probeert om op lange termijn lijkt het dan te bouwen aan een soort van Europees internet, een Europese cloud met Europese alternatieven voor al die grote bedrijven. Dat is niet alleen ethisch gezien belangrijk voor Europa, maar ook economisch gezien, denk ik dan altijd. Men probeert, daar men ziet heel veel geld vertrekken buiten Europa en als men dat hier kan houden is dat veel beter.
Voor jou als ondernemer denk ik altijd, is het belangrijk dat je er zorgzaam mee omgaat, zoals ik daarnet zei, maar dat je al die verplichtingen, die beperkingen, heel die oefening van mag ik deze tool gebruiken, niet ziet als een rem, een verplichting, een probleem dat je moet aanpakken. Zie dat als een manier om vertrouwen te wekken bij je consument, bij je klant. Bij ons ben je veilig. Wij gaan zorgzaam om met jouw data. Wij hebben de oefening gemaakt om correct en veilig om te gaan met die data en ons kan je vertrouwen en je gaat zien dat die vertrouwensrelatie creëren in digitale handel, in een digitale omgeving vandaag de dag superbelangrijk geworden is dat vertrouwen van de consument winnen, dat duurt heel lang. Dat is heel moeilijk.
Gegevensbescherming, privacy is daar een onderdeeltje van. Dat vertrouwen verliezen kan heel snel gaan. En als blijkt dat jij een aantal tools gebruikt die het surfgedrag van mensen delen met derde partijen en op basis daarvan worden mensen plots plat gestampt met reclame voor allerlei dingen die ze niet gevraagd hebben. Op enkele seconden is het vertrouwen weer weg. Dus wees verstandig daarin en gebruik privacywetgeving. Gebruik ook heel de discussie over data export veel meer als een tool om die vertrouwensrelatie met je klant te creëren, dan als een probleem dat je moet oplossen als ondernemer. Dat is althans onze aanpak bij Sirius Legal.
