‘Bedrijven moeten niet direct vrezen voor maximumboetes’

PHILIPPE DE BACKER "Zorgvuldig met data omspringen wordt een commercieel voordeel." © ID
Stijn Fockedey
Stijn Fockedey Hoofdredacteur a.i.

Staatssecretaris voor Privacy Philippe De Backer neemt een jaar na zijn aanstelling een belangrijke horde. De hervorming van de Privacycommissie kan eindelijk starten. Vanaf volgend jaar kan de waakhond boetes opleggen, maar volgens De Backer hoeven bedrijven niet direct voor de maximumboetes te vrezen.

Philippe De Backer is een jaar staatssecretaris voor Bestrijding van de sociale fraude, Privacy en de Noordzee. In elk domein heeft de Open Vld’er zware dossiers, zoals de hervorming van de sociale inspectie, de subsidies voor windmolenparken op zee en de nieuwe Europese privacyregels. Die General Data Protection Regulation (GDPR) heeft een enorme impact op bedrijven en de rest van de samenleving. De Backer is volop bezig alles tegen de deadline van mei 2018 geregeld te krijgen. “Onze regels waren al meer dan twintig jaar oud en dus aan een update toe”, zegt De Backer. “Organisaties hebben zich de jongste jaren te veel de persoonsgegevens van burgers toegeëigend, denk maar aan de manier waarop Facebook de data van het overgenomen WhatsApp wil gebruiken. Op mijn verzoek heeft de Privacycommissie dat al Europees aangekaart. Met een nieuw Europees kader wordt de aanpak strenger. Bedrijven zullen moeten bewijzen dat ze op een proportionele en zorgvuldige manier met persoonsgegevens omspringen.”

Dat brengt extra administratie mee.

De Backer: “Er is ook een aantal formaliteiten weggevallen. De GDPR is vooral een dubbele kans. Bedrijven gaan het zich echt niet meer kunnen permitteren de privacy van hun klanten niet te respecteren of persoonsgegevens slordig te beveiligen. Zorgvuldig met data omspringen wordt een commercieel voordeel. Ik heb met middelbare scholieren gepraat. Zij zijn allemaal bezig met privacy. De GDPR kan ook voor een efficiëntere werking zorgen. Als bedrijven nu toch moeten bekijken of ze de nieuwe regels volgen, is dat een goed moment om hun processen om data te verwerken te stroomlijnen.”

Door de hervorming krijgt de Privacycommissie tanden.

De Backer: “Tot nu toe is de Privacycommissie een papieren tijger geweest. Door de GDPR krijgen de commissie en haar tegenhangers in de andere lidstaten verregaande bevoegdheden om het nieuwe beleid ook af te dwingen. Er wordt een onderscheid gemaakt tussen lichte en zware overtredingen. Bedrijven hoeven niet direct te vrezen voor de maximumboetes van 4 procent van hun omzet of 20 miljoen euro. De administratieve boetes zijn het laatste middel. De grote spelers worden aangepakt, en als het moet, trek ik mee aan de kar. Bedrijven zoals Google, Facebook en Telenet heb ik al op het matje geroepen.

“Zware overtredingen of basiszaken, zoals het webverkeer niet versleutelen, zullen sneller tot boetes leiden. Maar in de regel gaat de Privacycommissie eerst de organisatie aanspreken. Als die haar verplichtingen niet nakomt, kan er een publieke waarschuwing volgen. Als dat ook niet helpt, zijn er boetes. Ik heb wel liever dat de koffer aan boetes op het einde van het jaar leeg is, want dat betekent dat de privacy van mensen goed wordt beschermd.”

Zullen er genoeg controles zijn?

De Backer: “Absoluut, door de GDPR moeten de privacyautoriteiten intensiever controleren. Er worden nu relatief weinig klachten ingediend. De hervorming zal het bewustzijn vergroten en mensen kunnen ook gemakkelijker een klacht indienen. De Privacycommissie moet ook meer initiatief nemen en eens een hele sector doorlichten. Dat vergt extra expertise. Daarom komt er ook een nieuw kenniscentrum.”

Krijgt België alles op tijd geregeld?

De Backer: “De GDPR is een Europese verordening en hoeft niet te worden omgezet in de wetgeving van de lidstaten. Maar de nieuwe structuur van de Privacycommissie moet wel nog wettelijk worden vastgelegd. De ministerraad heeft mijn voorstel twee weken geleden goedgekeurd. Na die eerste lezing volgen de adviezen van onder meer de Raad van State. Daarna start het legislatieve werk in het parlement. De GDPR laat ook nog een aantal keuzes toe. Bijvoorbeeld hoe we het recht op vergeten worden, kunnen verzoenen met wetenschappelijk onderzoek. Zulke zaken moeten nog worden bekeken.

“Ik hoop dat de modernisering van de Privacycommissie afgerond is tegen begin 2018, dan zijn er nog vijf maanden om de nieuwe structuur in te voeren. Die tijd zal de commissie nodig hebben. Ze weet natuurlijk wat op haar afkomt en ook het budget ligt al vast.”

Dat blijft 7 miljoen euro.

De Backer: “We hebben erover gewaakt dat de Privacycommissie voldoende slagkracht heeft als ze in mei 2018 nieuwe bevoegdheden heeft. Met de bestaande middelen is extra ruimte gecreëerd. Er komt een veel efficiëntere topstructuur, van twaalf naar vijf commissarissen. De benoemingsprocedure kan starten na het afronden van het wetgevende werk. De sectorale comités, die op de uitwisseling van gegevens tussen overheidsdiensten moesten toezien, worden vervangen door de aanstelling van data protection officers in de overheidsdiensten. Die comités kosten een miljoen euro, maar hun toezicht biedt niet wat we verwachten. Het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid blijft wel behouden. Daarmee bouwen we nog een extra controle in, want dat gaat over zeer gevoelige gegevens. Dat comité functioneerde ook goed. Met dit budget zou het moeten lukken. De Privacycommissie heeft een team van zestig heel capabele mensen en het zal zaak worden intern zo efficiënt mogelijk te werken.”

Er komt wel een hoop extra werk op hen af.

De Backer: “Als het budget echt ontoereikend blijkt, kan de Privacycommissie naar het parlement stappen. Dat hebben we zo gelaten om de onafhankelijkheid te garanderen. Als het parlement beslist het budget te verhogen, zal ik het daar zeker niet oneens mee zijn, maar ik had van de regering de opdracht gekregen voor een budgetneutrale hervorming te gaan.

“Met die 7 miljoen euro behoort België tot de top in Europa, rekening houdend met de grootte van het land en het aantal zaken. Onze regering hecht veel belang aan een goed privacybeleid. Geen enkele andere lidstaat heeft een aparte minister of staatssecretaris met die bevoegdheid. Deze regering, en mijn partij, vinden privacy een fundamenteel recht.”

Voor uw liberale achterban staat ook veel op het spel. Die vreest bijvoorbeeld een vermogenskadaster.

De Backer: “Voor Open Vld is dat onbespreekbaar. Als je niks te verbergen hebt, hoef je toch geen schrik te hebben, is vaak de verdediging. Maar dat is een verkeerde redenering, en het gaat ook in tegen de geest van de GDPR. Bedrijven moeten net verantwoorden waarom en met welk recht ze die gegevens willen hebben, en daarna moet je toestemming geven. Dat is het basisprincipe in de hervorming.

“Er zijn natuurlijk uitzonderingen en soms uitwassen. In het buitenland wordt in de strijd tegen terreur soms erg ver gegaan. In België bouwen we gelukkig voldoende checks-and-balances in, terwijl we voor bijkomende investeringen zorgen in onze inlichtingen- en politiediensten. Maar het kan niet de bedoeling zijn zomaar gigantisch veel extra data te verzamelen, die weinig zoden aan de dijk brengen.

“In discussies daarover gebruik ik vaak het beeld van de speld in de hooiberg. Heeft het veel nut nog bergen hooi bij te scheppen? Zodat de spelden nog moeilijker te vinden zijn? Is het niet beter te zorgen dat we betere tools en expertise hebben? Een supermagneet, als het ware, zodat ze sneller de juiste data te pakken krijgen? Eigenlijk zouden overheden en bedrijven zich vooraf altijd een vraag moeten stellen: hebben we die extra data wel nodig?”

Weet de overheid te veel?

De Backer: “De overheid weet veel over mensen en daar moet ze in de eerste plaats transparanter over zijn. In mijn beleidsbrief breek ik een lans voor een privacypaspoort. In Estland hebben ze al zoiets. Elke burger kan zien welke data de overheid over hen heeft, in welke databanken die worden bijgehouden en welke diensten die consulteren. Daar moeten we naar evolueren. Tegelijk moeten de overheden ook nog meer werk maken van een betere gegevensuitwisseling, zodat burgers dezelfde gegevens maar één keer moeten aanleveren.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content