De Privacycommissie krijgt door een ingrijpende Europese hervorming meer armslag en mag vanaf volgend jaar zware boetes opleggen. Voorzitter Willem Debeuckelaere wil de nijptang bovenhalen voor bedrijven die bijzonder slordig omspringen met persoonsgegevens.
Willem Debeuckelaere heeft een spiekbriefje van vier A4’tjes hangen aan zijn bureau thuis in Gent: een schema met de 99 artikelen van de General Data Protection Regulation. De voorbije jaren stond het professionele leven van de voorzitter van de Privacycommissie grotendeels in het teken van die nieuwe Europese verordening over gegevensbescherming en privacy. Een ingrijpende hervorming, want er komen onder meer een meldingsplicht voor bedrijven en overheden die persoonsgegevens kwijtspelen en miljoenenboetes voor zware overtreders. Er is jaren onderhandeld tot het akkoord in 2016 is goedgekeurd, maar het werk voor de Privacycommissie en de tegenhangers in de andere lidstaten begint nu pas. “Alles moet klaar zijn tegen 25 mei 2018, wanneer de nieuwe verordening van toepassing wordt”, zegt Debeuckelaere. “Eigenlijk is dat bijna onmogelijk. De Privacycommissie moet bijvoorbeeld hervormd worden, want de huidige samenstelling, het secretariaat en de ondersteunende diensten zijn niet aangepast aan al die extra bevoegdheden, in het bijzonder de mogelijkheid administratieve sancties te geven of veel intensiever te controleren. Veel principes van de verordening moeten nog worden uitgewerkt. Bedrijven, experts, academici en andere betrokkenen moeten feedback kunnen geven.”
“Eind december hebben we een openbare consultatie gelanceerd op onze website over de ‘gegevensbeschermingseffectbeoordeling’, een rapport over onder meer de manier waarop een organisatie persoonsgegevens verwerkt, hoe het die beschermt en waarvoor het die gegevens wil gebruiken. Organisaties moeten kunnen aantonen dat alles op een wettelijke en fatsoenlijke manier verloopt. Op Europees niveau is er nog geen consensus over wat zo’n rapport allemaal moet bevatten. Als Belgische toezichthouder spreken we nu een beetje voor onze beurt, maar we willen absoluut alle betrokken partijen horen over zulke belangrijke aanbevelingen.”
Elke lidstaat kan de regels dus anders interpreteren? Dat was toch niet de bedoeling?
WILLEM DEBEUCKELAERE. “Eigenlijk blijft men bij een nationale aanpak. In die zin is de verordening een gemiste kans. De dossiers over privacy en gegevensbescherming overstijgen meestal de nationale grenzen en zelfs de Europese. Ik was een grote voorstander van een Europese privacycommissie, een nieuw orgaan met grote bevoegdheden om dossiers die de grenzen overstijgen, zoals Facebook of Google, naar zich toe te trekken. Maar ook hier speelden nationale reflexen. Alle grote lidstaten zagen dat niet zitten. Bovendien was men bang. Agentschappen kosten geld en de Europese administratie heeft al de reputatie van zo groot en duur te zijn.
“De realiteit neemt wraak op het politieke compromis. De toezichthouders van alle 28 lidstaten werken nu als de beesten om toch tot eensgezinde aanbevelingen te komen. Alleen draait de raad van de nationale toezichthouders, dat een echt Europees agentschap vervangt, grotendeels op goede wil. Er is de mogelijkheid om, meerderheid tegen minderheid, te beslissen over geschillen die alle lidstaten aangaan (bijvoorbeeld een klacht over nieuwe privacyvoorwaarden van Google, nvdr). Maar het blijft een vergadering van 28 landen. Het is om zeep als één toezichthouder niet meer de gemeenschappelijke aanbevelingen volgt. Er is overigens nog een ander praktisch probleem. De raad zal meermaals per jaar samenkomen. Wij zitten al in Brussel, de collega’s uit de verder gelegen lidstaten zitten met hun handen in hun haar. Hun budgetten kunnen zelfs de hotelkosten niet dragen.”
Er zullen veel discussies zijn.
DEBEUCKELAERE. “Er zijn ruwweg twee stromingen, de Duits-Franse en de iets lossere Angelsaksische visie. Maar zelfs Groot-Brittannië en Ierland (waar veel Amerikaanse techbedrijven hun Europese hoofdkwartier hebben wegens de lage belastingen en de minder strenge privacyregels, nvdr) zien privacy als een fundamenteel burgerrecht. Dat is nog altijd een gelijklopende visie. In Amerika draait het beleid meer om consumentenbescherming. De verordening is wel op Angelsaksische leest geschoeid. Het moet nog blijken of dat de juiste aanpak is. Het nadeel is dat gelijkaardige bedrijven nog altijd zeer verschillend met de verwerking van persoonsgegevens kunnen omgaan.”
Dankzij de nieuwe verordening mag een toezichthouder zoals de Privacycommissie meer proactief te werk gaan.
DEBEUCKELAERE. “De beveiliging van internetverkeer, de ‘https’ die u voor het internetadres ziet staan, wordt een van onze prioriteiten. Als toezichthouder gaan we daar veel korter op zitten en met behulp van software slecht beveiligde websites opsporen. Dik een jaar geleden is er een datalek geweest bij een medische controledienst. Duizenden persoonsgegevens en rapporten met gevoelige informatie waren slecht beveiligd, terwijl de versleuteling van websiteverkeer helemaal niet duur of moeilijk is.
“Op 25 mei 2018, wanneer de nieuwe verordening actief wordt en we sancties kunnen geven, gaan we de nijptang bovenhalen om die gevallen streng aan te pakken. Dat zal niet met een boete van enkele duizenden euro’s zijn. Staatssecretaris voor Privacy Philippe De Backer (Open Vld, nvdr) heeft eerder gezegd dat bedrijven niet direct zware boetes moeten vrezen. Maar ik denk dat we met basiszaken als de versleuteling van het dataverkeer direct een signaal moeten geven dat het zo niet verder kan. Ik snap ook niet dat sommige bedrijven zo hardleers of slordig zijn, het gaat over hun intellectueel kapitaal.”
Er komt ook een algemene meldingsplicht bij verlies van persoonsgegevens.
DEBEUCKELAERE. “Voor telecombedrijven is er al sinds 2005 een meldingsplicht. Hun ervaring is nuttig voor andere sectoren. Nu krijgen we ongeveer om de twee weken een melding van een datalek. Onlangs was er een ziekenhuis waar een harde schijf was gestolen, met medische gegevens van patiënten. Een groot privacyrisico is er niet, want de harde schijf was beveiligd met encryptie. Meestal zijn het relatief kleine dossiers en is er telkens al een plan om het lek en de privacyrisico’s aan te pakken. Wellicht is dat een te rooskleurige voorstelling van de realiteit, en zijn er veel bedrijven die niet zo zorgvuldig met data omspringen.”
In theorie kunnen er boetes volgen tot 20 miljoen euro of 4 procent van de wereldwijde omzet bij zware inbreuken.
DEBEUCKELAERE. “We zien nu al het effect van die sancties, veel bedrijven zijn duidelijk bezig om zich in orde te stellen. Maar ik ben een koele minnaar van de sancties. I don’t need weapons of mass destruction, heb ik ooit eens op een congres gezegd. De miljoenenboetes zijn voor zware inbreuken en meestal zit men dan toch in de strafrechtelijke sfeer en heeft het gerechtelijk onderzoek voorrang. En rechters geven doorgaans veel hogere bedragen op dan een toezichthouder, dat zien we in lidstaten waar al administratieve sancties mogelijk zijn. Advocaten zeggen terecht dat een privacy-autoriteit eigenlijk rechter en partij tegelijk zal zijn. We moeten goed waken over de onafhankelijkheid van het administratieve rechtscollege in de nieuwe privacycommissie.”
Is er al meer duidelijkheid hoe de nieuwe commissie er zal uitzien?
DEBEUCKELAERE. “In mei vorig jaar heeft de regering beslist naar een commissie te gaan met minder leden, maar fulltime professionals. Tegelijk zal het nog mogelijk zijn experts erbij te betrekken. Dat was het voordeel van de huidige samenstelling met zestien leden uit de meest uiteenlopende sectoren en dus uit veel verschillende expertisevelden. Maar zo wijs de beslissing over de samenstelling was, zo vervelend is die over het budget. De nieuwe privacycommissie zal het moeten doen met 7 miljoen euro.
“Dat is min of meer het huidige budget, terwijl we door de verordening er dubbel zoveel taken bij krijgen. Een aantal zaken kunnen we afstoten. We gaan volgend jaar wel drie extra mensen, onder wie twee informatici, aanwerven. Deels omdat we zelf al wat hebben geremd in de uitgaven. Maar we dreigen een onvolledige voetbalploeg op het veld sturen. De verordening zegt net dat de nationale toezichthouders onafhankelijk moeten zijn en dat de overheden ook voor voldoende mankracht en middelen moeten zorgen. We hebben wel de toestemming gekregen een budgetvoorstel te maken over de manier waarop we zouden moeten kunnen werken.”
Blijft u aan als voorzitter?
DEBEUCKELAERE. “Officieel loopt mijn mandaat als voorzitter tot mei 2019, een vroegere aflossing van de wacht is geen slecht idee, nu de commissie ingrijpend moet veranderen. Ik word 63 dit jaar. Ik wil zeker nog een rol spelen, maar dat hoeft niet op de eerste linie te zijn. De gemiddelde leeftijd van de commissie is nu tegen de 60, wat jong bloed kan ook geen kwaad.”
Ook omdat jongeren anders tegen privacy aankijken?
DEBEUCKELAERE. “Dat wordt vaak beweerd. Dan moet men mij toch eens uitleggen hoe jongeren er nog altijd in slagen hun privéleven af te schermen van hun ouders (lacht). Ik merk ook bij mezelf een zekere gewenning. De mens is een sociaal wezen en de manier waarop men communiceert, verandert nu eenmaal. Soms wordt mij verweten te soepel te zijn. Ik heb geen zin om als de ayatollah van de privacy door het leven te gaan.
“Neem nu de gepersonaliseerde tv-reclame waar Telenet en co het kijkgedrag voor willen gebruiken. De operatoren moeten deftige privacyvoorwaarden aanbieden bij zo’n systeem en in de mogelijkheid voorzien er niet aan mee te doen. Misschien ga ik mijn toestemming geven als ze het invoeren, als ik daardoor geen reclame meer van babyproducten te zien krijg. Sommige zaken kunnen wel echt niet door de beugel, zoals Facebook dat jarenlang niet-gebruikers volgt zonder hun toestemming.”
U trok daarvoor naar de rechter. Volgens critici zou u beter de Belgische bedrijven meer in het oog houden.
DEBEUCKELAERE. “De realiteit is dat Mark Zuckerberg van Facebook de persoonsgegevens van zijn gebruikers heeft onteigend om er geld mee te verdienen. We treden ook tegen Belgische bedrijven op, als die foute zaken doen. Maar hoe kun je lokale bedrijven in de pas laten lopen, als Facebook en Google ongestraft de regels naast zich neer kunnen leggen? Dan benadeelt België zijn eigen bedrijven. Ik vind niet dat Europa dan maar minder strenge privacyregels moet opleggen om te kunnen concurreren met de Verenigde Staten. Een buitenlandse autofabrikant moet er hier toch ook voor zorgen dat zijn voertuigen voldoen aan de standaard veiligheidsvereisten?”
Stijn Fockedey, fotografie Dieter Telemans
“Men blijft bij een nationale aanpak. In die zin is de verordening een gemiste kans”
“Ik snap niet dat sommige bedrijven zo hardleers of slordig zijn, het gaat over hun intellectueel kapitaal”
“Ons budget blijft min of meer hetzelfde, terwijl we door de verordening er dubbel zoveel taken bij krijgen”
Fout opgemerkt of meer nieuws? Meld het hier