GDPR in de financiële sector: vooral een mindset

De echte uitdaging is niet GDPR, maar data governance en datakwaliteit

Dave Vreugde is sinds begin 2016 aan de slag als Project Manager bij TriFinance Financial Institutions. Momenteel helpt hij financiële instellingen om GDPR-compliant te worden. Een deadline die zij, net als alle andere bedrijven, tegen 25 mei 2018 moeten halen. Volgens Dave is GDPR in de financiële sector niet puur een technisch gegeven, maar vooral een kritische reflex die moet leven bij alle personeelsleden in hun omgang met persoonlijke gegevens. Mei 2018 is volgens Dave niet de deadline, maar pas het echte begin. De echte uitdaging in de financiële sector is trouwens niet GDPR maar data governance en datakwaliteit.

De ‘General Data Protection Regulation’ gaat over het verwerken, beheren en beveiligen van persoonlijke gegevens van Europese burgers. Elk aspect van de GDPR is van toepassing op alle ondernemingen, van de lokale kruidenier tot de grootbanken. De Belgische Privacy Commissie heeft voor Belgische organisaties een 13-stappenplan ontwikkeld om de implementatie van deze Europese Verordening efficiënt en volledig te laten verlopen.

Dave Vreugde focust zich momenteel op de implementatie van dit stappenplan, met o.a. het opstellen van een dataregister van verwerkingsactiviteiten (art. 30 GDPR). Het dataregister geeft de verschillende verwerkingsdoeleinden van een organisatie weer, o.a. met wie de organisatie haar persoonsgegevens deelt. Bij een financiële instelling gebeurt dit o.m. in het teken van kredietverleningen of het verlenen van beleggingsadvies.

***

De deadline nadert, hoe groot is de impact?

“De impact in de financiële sector is enorm. Het is voor kleinere financiële instellingen een hele opdracht om tijdig te kunnen voldoen aan de implementatie en documentatie van de GDPR. Voor grootbanken heeft dit vanzelfsprekend nog een veel grotere impact. Tegen mei moet elke organisatie minstens de ‘basics’ in orde hebben: een plan, het dataregister, interne en externe communicatie. Mei is geen deadline, maar een begin: GDPR is een continu proces en is dus nooit klaar.

Ligt de financiële sector wakker van potentiële boetes?

Deze Verordening legt zware boetes op, tussen 2% en 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Om deze te vermijden, moeten bedrijven o.a. in kaart brengen over welke klantengegevens zij beschikken, waar deze opgeslagen zijn, of zij de toestemming hebben om gegevens te verzamelen en te gebruiken en deze op aanvraag kunnen deleten.

Ondanks de potentieel hoge boetes heb ik de indruk dat de regelgever in eerste instantie open staat voor dialoog, al zullen er zeker boetes uitgedeeld worden om een duidelijk punt te maken, bij wijze van afschrikmiddel. Eerder dan angst voor boetes leeft in de financiële sector de angst voor imagoverlies omdat de Privacy Commissie deze boetes steeds publiek zal maken. Maar de angst voor boetes of imagoverlies mag vanzelfsprekend niet de reden zijn om GDPR-compliant te worden.”

Waar ligt de echte uitdaging?

Voor financiële instellingen is GDPR belangrijk, maar het structurele thema binnen de sector is data management met daaronder data governance en datakwaliteit. GDPR is een onderdeel van data management, maar GDPR is afdwingbaar en data governance is een keuze. GDPR zit vaak in grote dataprojecten binnen financiële instellingen, het verleent urgentie aan een grotere dataproblematiek. GDPR maakt datakwaliteit acuter.”

Vraagt GDPR specifieke expertise?

Specifieke kennis is zeker een vereiste, vooral binnen compliance. Toch is GDPR zeker geen expertise die uitsluitend gezocht wordt bij IT of Compliance. Elke werknemer moet de kritische reflex krijgen 'mag ik wel over deze data beschikken, mag ik deze cliënt wel contacteren ...’ De implementatie vraagt dus bij iedereen een permanente mindset om steeds met een kritische blik naar de verwerking van persoonsgegevens te kijken. Het is een verhaal waarbij heel de bank moet samenwerken en gesensibiliseerd moet worden.

Bij twijfel kan men zich richten tot de Data Protection Officer (DPO), dé aanspreekpersoon binnen een organisatie die aangesteld wordt voor alle vragen rond de verwerking van persoonsgegevens. De Verordering vraagt bovendien om bij elk nieuw intern project of significante wijziging van bestaande processen een zogenaamde Data Privacy Impact Analysis (DPIA) uit te voeren zodat organisaties steeds met een kritische blik kijken naar de te respecteren privacy van persoonsgegevens.

Welke voordelen levert GDPR op voor de financiële instellingen?

Deze wetgeving biedt de financiële instellingen zeker ook opportuniteiten: nog meer transparantie met hun cliënten –zeker in combinatie met de MiFID II regelgeving, correctere en meer accurate data verzamelen, oude data elimineren... Hierdoor kunnen financiële instellingen correcter advies leveren en een betere cliëntenrelatie opbouwen. Bovendien kan het in vraag stellen van welke gegevens er wel en niet opgevraagd worden, en of deze bewaard worden – en bewaard moeten blijven, leiden tot procesverbeteringen en meer (digitale) opslagruimte. Wat op zijn beurt kan leiden tot kostenefficiënties. Kortom, GDPR leidt tot betere inzichten, betere controle en – voor de nieuwe projecten- tot betere resultaten.

Hoe staat het met de stressniveaus bij de Belgische bankiers en verzekeraars?

Het zijn drukke tijden. Zoveel is duidelijk. IT-departementen moeten hun verouderde en complexe IT-systemen tijdig klaarkrijgen en ze worstelen zwaar met deze ‘legacy’. Bovendien zijn er nog andere Europese wetgevingen zoals MiFID en PSD II die in 2018 van kracht gaan, wat voor de nodige adrenaline zorgt. Mijn indruk is echter wel dat iedereen er vol voor gaat. Ik merk duidelijk een gevoel van strijdlust.

En wat gebeurt er na mei 2018?

25 mei 2018 is zeker niet de deadline.Integendeel. Dan begint het pas, want het onderhouden en up-to-date houden van al die verwerkingsactiviteiten wordt pas de échte uitdaging.
Deel deze pagina via: