GDPR-moeheid

Als u nu nog niet weet waar de GDPR (of de General Data Protection Regulation) voor staat, dan heeft u vast de laatste jaren in een zalige onwetendheid of verlengde staat van vakantie doorgebracht. Er is geen ontsnappen aan, de GDPR (of AVG in het mooi Nederlands) raakt elke ondernemer, en de klassieke en nieuwe media springt gretig op de kar.

De GDPR zal inderdaad heel wat interne en externe bedrijfsprocessen veranderen. De GDPR lijkt het landschap in twee groepen te verdelen. Consultants, juristen en advocaten – maar evengoed technische profielen – kunnen hun pret niet op. GDPR-audits zijn immers arbeidsgevoelige processen, en aan uurtje-factuurtje lopen dergelijke audits wel al eens stevig op. Criticasters noemen het daarentegen al eens smalend de nieuwe millenium bug,al slaat ook dat nergens op.

Maakt u zich vooral niet bezorgd

Privacy is verworden van een essentieel mensenrecht vastgelegd in artikel 8 EVRM, tot een commerciële fanfare van dure goeroes. Maakt u zich echter vooral geen zorgen. In een uitgebreid interview met de Voorzitter van de Privacycommissie (Willem Debeuckelaere) in Datanews (Knack), laat hij duidelijk verstaan dat ‘de Commissie helemaal niet klaar is’ en dat de implementatie van de GBA (de Gegevensbeschermingsautoriteit die de huidige Privacycommissie vervangt en bijkomende taken geeft) makkelijk nog één à twee jaar kan duren.

Vergeeft u het mij, maar mijn mond viel even open van verbazing. De Voorzitter van de Privacycommissie die onomwonden en zonder schroom aangeeft dat zijn organisatie niet klaar zal zijn voor de GDPR. Ongezien. Ik ken geen enkele andere Europese gegevensautoriteit die hetzelfde liet optekenen, ook al zijn vele nationale gegevensautoriteiten wel degelijk bezig met een ‘race tegen de klok’.

Ondertussen worden bedrijven, verenigingen en overheidsinstellingen verplicht door het Europese niveau om op 25 mei 2018 wél klaar te zijn, en daarvoor ook aanzienlijke investeringen uit te trekken. Al mag het geen algehele verrassing heten. In de wandelgangen gaat al langer rond dat de Commissie de deadline niet zal halen, wat ook meteen impliceert dat Belgische bedrijven nog even gerust op beide oren kunnen slapen. Als bedrijfsleider bent u er wellicht niet rouwig om, maar voor het algemeen belang en onze rechtszekerheid is dit allerminst een goede zaak.

Hoewel Debeuckelaere gretig wijst naar het gebrek aan ondersteuning vanuit Europees niveau, en de extra middelen die hij maar niet loskrijgt bij de regering, is dat al te makkelijk. Er kan begrip worden opgebracht voor sommige argumenten, maar de financiële kaart trekken, opnieuw en opnieuw, is een contrast met de werkelijkheid.

Zinloze wetten en tandeloze waakhonden

Herinnert u zich nog de cookiewetgeving (cookies zijn kleine tekstbestandjes die uw online gedrag bijhouden, nvdr)? Waar elke website u duidelijk moet informeren welke cookies ze gebruiken? Toegegeven, het was een gedrocht van een regulerend werk, waar ook op Europees niveau lessen uit werden geleerd. De Nederlandse Privacycommissie, de Autoriteit Persoonsgegevens, had één (!) dag na de inwerkingtreding een uitgebreid advies klaar voor website- en softwareontwikkelaars. Het duurde maar liefst twee jaar tot onze Belgische Privacycommissie met een gelijkaardig advies op de proppen kwam. Bezoekt u overigens gerust eens de website van de Autoriteit Persoonsgegevens, en vergelijk het eens met onze Belgische versie. Het spreekt boekdelen.

Het kwaad was toen al geschied. Belgische bedrijven trekken zich met moeite iets aan van de cookiewetgeving, terwijl hun Nederlandse collega’s de wetgeving wél strikt volgen. Dat is makkelijk te verklaren. Als het adviserend privacyorgaan het zelf niet al te belangrijk acht, waarom zou u als bedrijf middelen investeren in het correct naleven van de wet?

De huidige privacywetgeving, van 1992, is al erg strikt. Toch werd ze langs alle kanten met de voeten getreden, alsof het een vodje betrof met vooral filosofische waarden, eerder dan wettelijke verplichtingen. Dat is mede dankzij een apathische houding van de instelling die als waakhond zou moeten optreden. Een instelling die onafgebroken, gezwind en breedvoerig had moeten sensibiliseren en informeren, maar die daar nooit echt in slaagde.

Conclusie

De Privacycommissie kampt met imago- en leiderschapsproblemen. Het is een weinig innovatieve instelling waar ik al meer dan eens mee in de clinch lag. Ze klaagt continu over ontoereikende middelen, terwijl er wel een klein fortuin werd (en men is opnieuw begonnen) uitgegeven aan een verloren rechtszaak tegen Facebook. Facebook! Ik zou nog sympathie kunnen opbrengen mocht de instelling eerst haar eigen zaakjes op orde hebben, alvorens het David en Goliath-verhaal te willen uitspelen voor nationale rechtbanken.

De Beuckelaere haalt enkele goede en heldere punten aan in het interview. Hij helpt het misverstand uit de wereld dat elke onderneming een DPO nodig heeft, en praat op een genuanceerde manier over controles en bestraffingen. Dat is goed, want de GDPR heeft eerst en vooral tot doel om een gedachteverandering in te zetten. Maar, mag het ietsje meer zijn? Ik verwacht van een privacywaakhond dat ze op tijd klaar zijn, punt aan de lijn. Want als de nieuwe Privacycommissie ‘nooit op tijd klaar zal zijn’, hoe kan je dan verwachten dat de vele ondernemingen, verenigingen en overheidsinstellingen dat wel zijn?

Deze opinie is geschreven door Matthias Dobbelaere-Welvaert, privacyactivist en managing partner bij theJurists Europe (deJuristen/lesJuristes/theJurists). Matthias doceert ook ‘Copyright and Mediarights’ aan de Erasmus Hogeschool Brussel en is gespecialiseerd in privacy, vrije meningsuiting en artificiële intelligentie.