Hoe maakt u een juridisch waterdichte website?

De meeste bedrijven die via hun website persoonsgegevens verwerken, houden geen rekening met de privacywetgeving. Op een inbreuk staat een boete tot 500.000 euro, maar die maakt nauwelijks indruk. Weten deze bedrijven dan niet dat potentiële klanten afhaken als hun privacy niet wordt gegarandeerd?

Eind 2005 stelden Jos Wittevrongel en Irina Krishnan van Lee & White Consultants (LWC) hun rapport voor over de mate waarin bedrijven de privacywet op het internet naleven. Ze hadden wel reacties verwacht, maar zeker niet de bakken kritiek die hun deel werden.

Toegegeven, het rapport was vernietigend. Amper zeven van de 213 onderzochte sites zou de toets met de wet van 8 december 1992 doorstaan. Bovendien werden de cijfergegevens voorzien van striemende conclusies zoals: “De houding van de bedrijven getuigt van een ongeziene nonchalance. Ze zien niet eens in waarom ze hun beleid aan de wet zouden moeten aanpassen. Ze zijn alleen geïnteresseerd in de pakkans.” Ook de wetgever kreeg ervan langs. De privacycommissie, die moet toezien op de naleving van de wet, beschikt volgens LWC niet over de middelen om op zoek te gaan naar overtreders.

LWC, een jong consultancybedrijfje uit Varsenare, kreeg daarop de wind van voren. Ze zouden de kmo’s en bedrijven viseren en hen op kosten jagen door hen te verplichten dure juridische experts in te huren en opnieuw te sleutelen aan het ontwerp van de website. Jos Wittevrongel: “Wij hebben de bedrijven niet uitgekozen als doelwit. Het is ons te doen om de bewustmaking. De toegang tot persoonsgegevens is beschermd door een wet. Als die niet wordt toegepast, dragen zowel klanten als bedrijven daar de gevolgen van.”

Wat is het probleem?

Het idee om de Belgische bedrijven een geweten te schoppen op het gebied van privacybeleid, komt van Irina Krishnan, een jonge Maleisische juriste die zich Londen specialiseert in computer- en communicatierecht. In 2002 vestigde ze zich samen met haar echtgenoot Jos Wittevrongel in België. “Het bleek niet makkelijk om als buitenlander in België werk te vinden. Privacyrecht is haar passie en aangezien ik een volbloed IT’er ben, hebben we in 2003 besloten om met die combinatie als basis een consultancybedrijf op te richten,” zegt Wittevrongel. Hijzelf werkte onder meer drie jaar als softwareontwikkelaar voor Lernout & Hauspie (tot aan het faillissement) en daarna twee jaar bij durfkapitalist Bayonet Ventures in Londen.

Volgens Krishnan is het gebrekkige privacybeleid van veel bedrijven een onderschat probleem. “Sinds de komst van het internet circuleren er veel meer persoonsgegevens binnen bedrijven. Alleen weet haast niemand hoe daarmee wordt omgesprongen,” aldus Krishnan. Ze verwijst naar de vier jaar oude cijfers van het Verbond van Belgische Ondernemingen (VBO), die aangeven dat 80 % van alle bedrijven over een website beschikt. Een groot deel daarvan schakelt de site ook in voor zijn bedrijfsactiviteiten.

Dat hoeft niet noodzakelijk strikt te worden gedefinieerd als e-business. Bij elke informatieaanvraag, inschrijving voor een elektronische nieuwsbrief of bestelformulier, zelfs via de cookies die het zijn internetbezoekers meegeeft, krijgt een bedrijf persoonsgegevens binnen. Op dat moment wordt het als rechtspersoon aansprakelijk voor de verwerking en bestemming van die gegevens. “Dat geldt niet alleen voor de gegevens die via het internet binnenkomen,” zegt Irina Krishnan. “Ook de mensen aan de receptie moeten weten dat ze het domein van de beschermde persoonsgegevens betreden wanneer ze iemand zijn naam en telefoonnummer vragen. Daarom is het zo belangrijk om bedrijven bewust te maken van de data die ze verwerken en welke regels ze daarbij in acht moeten nemen.”

Wat zijn de spelregels?

“Het uitgangspunt is dat elke vraag die je aan een klant, sollicitant of bezoeker van de website stelt, gemotiveerd moet zijn. Als je hem zijn naam, telefoon, e-mail, leeftijd en geboortedatum vraagt, moet je uitleggen waarom je dat doet,” zegt Irina. “Je moet ook aangeven wat er met die gegevens zal gebeuren, hoelang ze bewaard worden en wie er toegang tot heeft. Als webservers het verkeer op de site in de gaten houden via cookies, moet dat expliciet worden gemeld. En de persoon of het bedrijf dat verantwoordelijk is voor het verwerken van de gegevens, moet duidelijk zichtbaar zijn naam, adres en e-mail – of dat van een vertegenwoordiger – in België aangeven.” Dat alles kan in een zogenaamd privacy statement, de stukjes tekst of links die vaak – maar dus niet altijd – onder aan een e-mail staan.

De gevolgen voor een bedrijf dat de wet niet naleeft, zijn volgens Krishnan veel groter dan de mogelijke boete tot 500.000 euro. “Een bedrijf dat veroordeeld wordt, kan het verbod krijgen om twee jaar lang gegevens te verwerken. Voor de meeste zaken betekent dat zoveel als de boeken dichtdoen.” Veel erger dan een veroordeling is volgens haar de vertrouwensbreuk met de klanten. “In België stappen mensen zelden naar de rechter. Maar het bedrijf dat hun vertrouwen heeft misbruikt, laten ze wel links liggen. Het is dus in het belang van zowel klanten als bedrijven dat de rechtszekerheid op het internet wordt afgedwongen.”

Krishnan wijst er ook op dat een website een uithangbord is voor een bedrijf dat niet alleen in België maar ook in het buitenland zichtbaar is. “Ook op de buitenlandse bezoekers zijn de Belgische privacyregels van toepassing. Dit betekent bijvoorbeeld dat een site die in het Spaans wordt aangeboden, ook een privacyverklaring in het Spaans moet hebben. Door slordig om te springen met persoonsgegevens, kunnen klanten uit buitenland worden afgeschrikt. Meteen verliest het bedrijf zo een van de belangrijkste troeven die het internet biedt.”

Wat kost een privacyverklaring?

Om de wet na te leven, volstaat het om een passende privacyverklaring op de site te zetten en aan de uitgaande e-mails te hangen. Hoe die er precies moet uitzien, is verschillend voor elk bedrijf. “Een privacyverklaring hangt af van de activiteit en de behoefte. Als je alleen een bestand aanlegt met mensen die een nieuwsbrief krijgen, heb je uiteraard een minder uitgebreide verklaring nodig dan een e-commercebedrijf dat betalingen regelt via het internet,” aldus Irina Krishnan. Volgens haar bestaat er niet zoiets als een verklaring die alle noden dekt. “Bij ons onderzoek hebben we gemerkt dat heel wat bedrijven privacy statements kopiëren van pakweg Amazon.com. Daar heb je natuurlijk niets aan.”

Maar hoeveel moet dat dan kosten? “De kosten worden door iedereen sterk overschat,” zegt Wittevrongel. “In eerste instantie denken bedrijven dat ze handenvol geld moeten uitgeven aan juridische experts. Dat klopt niet. Uiteraard kan je een opleiding geven aan het personeel dat de persoonlijke gegevens verwerkt. Maar een groot deel van het werk, zoals het interviewen van de verantwoordelijken voor het databeheer en het opstellen van de verklaring, kan in een halve dag.” Op basis van de tarieven van LWC kan een bedrijf zijn website juridisch waterdicht maken voor ongeveer 350 euro.

Maar ook die prijs wil Wittevrongel nog omlaag halen. “We zijn bezig met de ontwikkeling van een zogenaamde privacyhandleiding. Dan zou je op basis van een vragenlijst op onze website volledig zelfstandig je website aan de wettelijke normen kunnen aanpassen,” aldus Wittevrongel. De handleiding zou eind dit jaar worden gelanceerd en moet vooral kleinere bedrijven aanspreken.

Waarom doet niemand iets?

Voorlopig blijft het contact met de bedrijven het grootste probleem. “Na het onderzoek hebben we bij wijze van steekproef enkele bedrijven geconfronteerd met de resultaten. De grote meerderheid reageerde erg lauw,” aldus Wittevrongel. ‘Te druk’ was een veelgehoord excuus. In veel gevallen werden Krishnan en Wittevrongel doorverwezen naar de webdesigner die de site had gemaakt. “Vaak denken de bedrijven dat het om een informaticaprobleem gaat. Ze vergeten echter dat zij als beheerder van de persoonlijke gegevens wel degelijk aansprakelijk zijn. Het is echt verbazend hoe weinig mensen weten wat er in de wet staat,” zucht Krishnan.

Door die ongezouten conclusies ook in zoveel woorden over te maken aan de betrokken bedrijven, oogstte LWC heel wat negatieve reacties. “Je kan gerust zeggen dat de sfeer vijandig is,” zegt Jos Wittevrongel, die toegeeft dat ze bij de voorstelling van hun rapport misschien als een olifant in de porseleinenkast te werk zijn gegaan. “De bedrijfscultuur in Vlaanderen is anders als in Groot-Brittannië, waar sneller advocaten worden ingeschakeld. Hier gebeurt alles in een ‘sfeer van vertrouwen’. Iedereen denkt dat het wel zal overwaaien, maar intussen gebeurt er niets.”

Ook de structurele inertie van de privacycommissie kreeg een veeg uit de pan van LWC. Ze kan alleen optreden na een klacht, waardoor ze hooguit af en toe een waarschuwing versturen. Echte sancties komen er alleen als de ze klacht doorgeven aan het gerecht. En dat gebeurt niet of nauwelijks. “Als de wet niet wordt afgedwongen, blijven we hangen in de huidige onduidelijke situatie, waarin iedereen maar wat aanmoddert,” aldus Jos Wittevrongel.

Hoe moet het tij keren?

Sinds het rapport werd voorgesteld, hebben Wittevrongel en Krishnan geprobeerd om een samenwerking op te zetten met zowel de privacycommissie als de ondernemersfederaties. Een succes was dat niet. “De privacycommissie erkent het belang van onze inspanning,” zegt Wittvrongel. “Maar tot een echte samenwerking komt het niet. Dat is jammer, want we dachten aan en soort garantielabel dat door de commissie zou worden uitgereikt aan bedrijven die helemaal in orde zijn met de privacywet.”

LWC praat ook met ondernemersorganisatie Unizo. Maar ook die gesprekken zitten nog in een vroeg stadium. “Ik zit met een paar concrete ideeën. Als we straks onze handleiding klaar hebben, zouden we die bijvoorbeeld met korting aan hun leden kunnen aanbieden.” LWC stelt alvast een pakket ter beschikking met gratis richtlijnen voor een beter privacybeleid, een vriendelijk gebaar dat het product aantrekkelijker moet maken en de bedrijven moet overtuigen van hun goede bedoelingen.

In mei wordt het rapport voorgesteld over de toestand bij de websites van de vzw’s in België. Ze zijn gewaarschuwd.

Wouter De Broeck