Over precies een jaar wordt de algemene verordening gegevensbescherming afdwingbaar. Bedrijven die zich er niet aan houden, riskeren monsterlijke boetes tot 4 procent van hun wereldwijde jaaromzet, of tot 20 miljoen euro. De verordening maakt de bescherming van persoonsgegevens tot een courant onderdeel van de bedrijfsvoering, zoals het bijhouden van de boekhouding. Het begrip 'persoonsgegevens' heeft betrekking op alle informatie over direct of indirect identificeerbare natuurlijke personen. Dat is zo breed dat het in de praktijk bijna onmogelijk is een bedrijfsactiviteit te hebben zonder aan de verordening te moeten voldoen. Vrijwel altijd hebben ondernemingen minstens klanten- of leverancierscontacten.

Volgens Roularta Business Information zijn er in België bijna 1,14 miljoen zelfstandigen en vennootschappen bekend bij de RSZ. Ruim 37.000 hebben minstens tien werknemers. De impact van de verordening - in het Engels GDPR, voor General Data Protection Regulation - is dus enorm, vooral omdat ze de bewijslast omdraait. Bedrijven moeten aan de toezichthoudende privacycommissie kunnen aantonen dat ze de voorschriften naleven. Zij hebben een verantwoordingsplicht en moeten een intern register van hun verwerking van persoonsgegevens bijhouden.

Ze worden verplicht vooraf een effectenrapport op te maken als ze persoonsgegevens verwerken, onder meer voor direct marketing of profiling. In sommige gevallen is er een verplichting om een data protection officer, een functionaris voor gegevensbescherming, te hebben.

Bedrijfsfederaties staan klaar

Op zijn website privacycommission.be - het adres is in het Engels, op het Nederlandstalige zit een kraker - stelt de Privacycommissie informatie ter beschikking voor burgers, verwerkers en verwerkingsverantwoordelijken en de brochure Bereid je voor in 13 stappen. Praktischer informatie is te vinden bij de bedrijfsorganisaties. Unizo legt in een downloadbare snelwijzer helder uiteen waar het om draait. De ondernemersvereniging werkt aan een "Privacy-scan". "Aan de hand van vijftien ja-neevragen schatten we in hoeveel werk je moet doen om in orde te zijn", zegt Anna Craps, de Unizo-experte voor de verordening gegevensbescherming. De scan, waarvan we de proefversie konden uitproberen, spelt concrete maatregelen uit.

De technologiefederatie Agoria heeft speciaal voor de verordening een jurist aangeworven. Ze plant nog eens vier seminars en twee opleidingsdagen, en er komt een Agoria GDPR Compass online met "170 ja-neevragen die je automatisch een actieplan en aanbevelingen geven", stelt Marc Lambotte, de CEO van Agoria.

"GDPR is met stip de belangrijkste prioriteit voor onze bedrijven. We hebben veel sessies en ze zitten stampvol", zegt Danielle Jacobs, de directeur van Beltug. De ICT-gebruikersorganisatie heeft onder meer een modelregister voor gegevensverwerking in werkbladformaat uitgebracht. Samen met Allen & Overy heeft ze een voorbeeldclausules opgesteld om toe te voegen aan de overeenkomsten met gegevensverwerkers - de informaticaleverancier of de cloudprovider. Een vragenlijst waarmee bedrijven zich ervan kunnen verzekeren dat hun ICT-leverancier in orde is, zit in de laatste overlegfase met de ICT-bedrijven. Jacobs: "Daarmee winnen we twee keer. Onze gebruikers hoeven de vragen niet zelf uit te vinden, en de IT-leverancier krijgt van verschillende klanten dezelfde vragen, in plaats van vergelijkbare vragen in telkens andere woorden."

Consultants ruiken geld

Ondertussen is de verordering op weg een kostbare hype te worden, net zoals de Y2K-bug die in de aanloop naar het jaar 2000 een massa consultants aan het werk hield. "We ergeren ons aan het opportunisme", verzekert Danielle Jacobs. "De markt wordt overspoeld door adviseurs en consultants die zich aanprijzen als specialisten", vindt Dirk De Bot van DPS4U, een veteraan in gegevensbescherming.

De Privacycommissie zit verveeld met de situatie. Voorzitter Willem Debeuckelaere: "Met de verordening gegevensbescherming heeft men een bigbangeffect beoogd, maar een overgangsperiode van twee jaar voor zo'n grote verandering is eigenlijk onzin. Er was beter twee jaar uitgetrokken om de eigen wetgeving in orde te brengen, en dan twee jaar om bedrijven en overheden zich in orde te laten stellen, in een dialoog met de vernieuwde Privacycommissie. En het was beter geweest niet alle 99 artikelen direct van start te laten gaan, maar dat te faseren."

Wetgever blijft achter

Een heikel punt is dat België zijn wetgeving nog niet heeft aangepast aan de verordening. De rechterlijke en politionele toepassing vergt wetgeving die tegen 6 mei 2018 in voege zou moeten zijn. "Daarvan heb ik nog geen letter gezien", zegt Debeuckelaere. Dirk De Bot: "De verordening vereist verduidelijking van de nationale wetgever en van het Europees Comité voor Gegevensbescherming (de conferentie van de 28 nationale toezichthouders), die richtlijnen en adviezen voor de beste manier van werken moeten geven. Zolang die er niet zijn, kunnen bepaalde aspecten niet of moeilijk in de praktijk worden gebracht."

De verordening geeft de lidstaten onder meer de vrijheid om te bepalen wat grootschalige gegevensverwerking is, en wanneer een persoon als minderjarig moet worden beschouwd. Johan Vandendriessche van Crosslaw, een specialist in informaticarecht: "In Duitsland zie je hoe de wetgever de limieten van die verordening aftast. Wat zal de Belgische wetgever doen? Heel conform zijn met de verordening, of die limieten ook opzoeken? Een aantal bedrijven zegt dat ze de verordening begin 2018 opnemen als er meer duidelijkheid is. Dat kan ik voor een stuk begrijpen."

Vandendriessche verwacht dat er over een jaar nog een grote groep bedrijven niet in orde is. Ook bij Unizo is er scepticisme. Anna Craps: "Het leeft nog niet echt. Veel kleine zelfstandigen denken nog dat het niet op hen van toepassing zal zijn."

Bruno Leijnse