De Privacycommissie krijgt tanden
Vanaf mei 2018 zijn persoonsgegevens een stuk minder vogelvrij in de Europese Unie. Keerzijde is dat het bedrijfsleven er een pak administratie bij krijgt.
De teller op de website van de Privacycommissie tikt gestaag de seconden weg. Nog 637 dagen tot 25 mei 2018, de datum waarop de algemene verordening gegevensbescherming van toepassing wordt. Dat lijkt een zee van tijd, maar is het niet.
De Europese verordening, bekend onder haar Engelse afkorting GDPR (General Data Protection Regulation), schaft de plicht af om verwerking van persoonsgegevens bij de Privacycommissie te melden. In 2015 kwamen daarvan nog 2404 aangiftes binnen, als we camerameldingen en wetenschappelijk onderzoek buiten beschouwing laten. In de plaats komen veel stringentere regels: bedrijven moeten aan de Privacycommissie kunnen bewijzen dat ze de voorschriften van de GDPR naleven. Ze moeten een intern register van de verwerkingsactiviteiten bijhouden. Voor risicovolle verwerking moet eerst een effectenrapport worden opgemaakt. Wie in de fout gaat, kan boetes krijgen tot 20 miljoen euro of 4 procent van de wereldwijde omzet – het hoogste van de twee. De waakhond voor de bescherming van persoonsgegevens, de Privacycommissie, krijgt tanden.
Van twee dagen naar levenslang
De nieuwe wetgeving zadelt bedrijven op met extra werk, erkent Willem Debeuckelaere, voorzitter van de Privacycommissie. “Nu kost een aangifte nog minimaal twee uur en maximaal twee dagen, afhankelijk van de moeilijkheidsgraad. Onder de GDPR moeten bedrijven en organisaties een volledig dossier bijhouden. Dat is een permanente opdracht. In sommige gevallen is ook data protection officer verplicht. Niet zelden wordt dat een nieuwe opdracht waarvoor vrij hoog gekwalificeerd personeel nodig is.”
“Veel verplichtingen van de verordening komen we nu sowieso al na, maar het worden er inderdaad nog meer. Dat merken we aan de vragen die we krijgen vanuit de Privacycommissie”, bevestigt co-oprichter Lorenz Bogaert van de vastgoedsite Realo. Bogaert richtte eerder met Toon Coppens al de sociale netwerken Netlog en Twoo op. “Ons grootste probleem is de invulling van de positie van data protection officer. Je kan die functie intern houden of uitbesteden, maar het lijkt me iets voor een auditbedrijf. Een aantal mensen gaat daar een pak geld aan verdienen. Dat soort constructies maakt de zaken niet gemakkelijker voor starters. Positief – en de enige grote verandering voor Europeanen – is dat Amerikaanse en andere niet-Europese bedrijven zich nu aan dezelfde regels moeten houden.”
Kleintjes zijn de pineut
In haar effectenrapport uit 2012 voorspelt de Europese Commissie een jaarlijkse besparing van 2,3 miljard euro op administratieve lasten dankzij de GDPR. Maar vooral multinationale bedrijven doen er hun voordeel mee. “We krijgen nu een eengemaakte Europese wetgeving. We zullen een uniek loket hebben en moeten geen tien nationale overheden meer consulteren”, onderstreept Julie Otjacques, hoofd van de juridische dienst van de energieleverancier Essent. De Belgische vestiging met haar 150 personeelsleden en 360.000 klanten, is zowat het datalabo voor het Duitse moederbedrijf RWE en heeft haar ICT-directeur als data protection manager aangesteld.
Advocaat Johan Vandendriessche van Crosslaw, een specialist in informaticarecht, ziet de administratieve last voor kmo’s echter stijgen. “Bedrijven met minder dan 250 werknemers moeten onder bepaalde voorwaarden geen register van hun verwerkingsactiviteiten bijhouden. Hun verwerking mag dan geen risico zijn voor de rechten en vrijheden van de betrokkenen en ze moet incidenteel zijn, onder meer. Dat helpt kmo’s niet veel, want de meeste verwerkingen zijn niet incidenteel. Personeel en klantenbeheer vallen niet onder die vrijstelling. Als ze een wedstrijd organiseren is dat eenmalig, maar als ze die gegevens voor marketing willen gebruiken, is dat recurrent, en moeten ze toch een register bijhouden. Zij moeten ook altijd kunnen aantonen dat ze de verordening naleven. Wat verwerken ze, waarom, hoelang worden de gegevens bewaard, hoe zijn ze beveiligd? Hoe doe je dat zonder je in- en uitgaande stromen van persoonsgegevens te documenteren? Kmo’s hebben vaak maar één vestiging in één land. Zij profiteren er niet van dat de voorwaarden in Europa gelijk worden. Logischer zou zijn hen vrij te stellen van de aantoonbare naleving om op die manier de administratieve last te verminderen.”
Opleiding zal tijd vragen
Ook de informatieplicht wordt een harde dobber, vermoedt Vandendriessche. “Heel wat verwerkingen zijn nu gebaseerd op geïnformeerde toestemming. Met een uitgebreide informatieplicht zullen heel wat bedrijven opnieuw een toestemming moeten zoeken. Dat is niet zo eenvoudig en kan wel eens duur worden.”
De interpretaties van de verordening zijn nog niet in steen gehouwen. Begin september houden de privacycommissies van de EU nog een driedaagse conferentie om de violen af te stemmen over “topics waar bedrijven en organisaties mee worstelen”, volgens Debeuckelaere. Ingrid Willems is vooral bang dat de GDPR de digitale innovatie zal smoren. “We moeten vooral inzetten op de opvoeding van de applicatieontwikkelaars en de gebruikers”, vindt zij.
Zullen de bedrijven gereed zijn op 25 mei 2018? Debeuckelaere heeft er een zwaar hoofd in. “Heel wat mensen moeten opleiding krijgen. Het is duidelijk dat die niet klaar zullen staan. De vraag is of we niet al vele jaren te laat zijn. Privacy is maar een onderdeel van informatiebeveiliging, de bescherming van het fabrieksgeheim en van de integriteit van de processen. Als je de opkomst van cybercriminaliteit ziet, denk ik dat het vijf voor twaalf is.”
Bruno Leijnse
Vooral multinationale bedrijven doen hun voordeel met de eengemaakte regelgeving.
Fout opgemerkt of meer nieuws? Meld het hier