leestijd: circa 5 minuten.

9/01/2018

Onze beste wensen! Een nieuw jaar, een nieuw begin. We hebben elk zo onze datums in 2018 waar we reikhalzend naar uitkijken: een verjaardag, een trouw, een feestje. Er is echter één datum waar velen onder jullie waarschijnlijk niet onmiddellijk op zitten te wachten: 25 mei 2018. Vanaf die dag kan de nieuwe privacywetgeving – de gevreesde en veelbesproken GDPR of AVG – worden afgedwongen. Deze nieuwe, strenge regels zijn al enige tijd in werking, maar zelfstandigen, vennootschappen, verenigingen en overheidsinstellingen hebben twee jaar de tijd gekregen om passende maatregelen te treffen om deze nieuwe verplichtingen te implementeren. Twee jaar lijkt veel, maar dat is het in de praktijk allesbehalve. Afhankelijk van welke rol je opneemt, de hoeveelheid gegevens die je verwerkt, de doeleinden voor de verwerking en de rechtmatigheid van reeds verkregen persoonsgegevens, zal iedere entiteit een ander traject moeten bewandelen.

Make Europe great again

Er was zeker nood aan nieuwe regelgeving. De Europese privacywetgeving was al een hele poos verouderd en stond bol van de hiaten. Gevolg: Europese spelers waren niet langer competitief met de cowboys in het Wilde Westen en Oosten. Gelukkig hebben we gekozen voor modernisering. Europa profileert zich in tegenstelling tot de VS of China als een geharmoniseerde regio waar men duidelijk nog waarde hecht aan privacy. De EU biedt bescherming aan de persoonlijke gegevens van eenieder die in haar contreien vertoeft. Inderdaad, ook aan niet-EU-burgers.

Het is een goede zaak dat er eindelijk een stok achter de deur is om de bescherming van onze persoonsgegevens af te dwingen tegen de internetgiganten. Die stok bestaat uit draconische boetes tot wel 4% van de jaarlijkse wereldwijde omzet van de inbreukpleger. Allemaal goed en wel, maar we moeten voorkomen dat diezelfde stok achter de deur ons uiteindelijk de economische das omdoet. Wie met hoge boetes dreigt, berokkent hoe dan ook enorme schade aan de ondernemerszin. We mogen niet vergeten dat ook kleinere en (middel)grote ondernemingen diezelfde boetes vrezen.

Europa heeft nood aan innovatie. Innovatie in de vorm van ontwikkeling van artificiële intelligentie, medisch onderzoek en big data-oplossingen. Laat deze nieuwe sectoren nu net enorm vertrouwen op het verwerken van gigantische schaal aan data. Een AI is immers niet anders dan een algoritme dat autonoom handelingen kan stellen met behulp van een schat aan data. Het zou een zonde zijn om de Europese nijverheid te belemmeren door een te strikte naleving van de privacyregels.

GAFA

Je hoeft geen expert privacyrecht te zijn om in te zien dat deze wetgeving tot stand is gekomen om de GAFA’s (Google, Amazon, Facebook en Apple) onder controle te houden. Binnenkort zijn alle nationale data protection authorities (DPA’s) bevoegd om deze grootmachten over heel Europa aan te pakken. Zo zal Facebook zich bijvoorbeeld niet langer kunnen verstoppen achter de regels van het fiscaal voordelige Ierland, waar het haar Europese hoofdkantoor heeft. En hoewel de hoofdvestiging van deze spelers niet in de EU ligt, vallen zij toch onder de GDPR. Dit omdat zij op systematische wijze gedrag van hun gebruikers monitoren. Silicon Valley is met andere woorden ook gebonden door de GDPR. We durven te voorspellen dat een onderzoek zal geopend worden naar één of meerdere GAFA’s. Er zal op Europees vlak worden samengewerkt om deze grootmachten weer even onder controle te krijgen. Uiteraard slechts tot wanneer deze nieuwe wetgeving opnieuw verouderd blijkt te zijn.

Vanaf 25 mei 2018 zal er op korte termijn meer duidelijkheid volgen. Door het uitvaardigen van administratieve boetes zullen we te weten komen wat de concrete pijnpunten zijn. Ook is het uitkijken naar hoe oude rechtspraak zal evolueren. Zal de rechtspraak een harde positie innemen om iedere betrokkene zo streng mogelijk te beschermen? Of zal zij eerder pragmatisch optreden, met respect voor innovatie en ondernemerschap? Op basis van de motivering van de beslissingen zullen best practises ontstaan. De partij die ondertussen de boete ontvangt, is dan wel de dupe.

De milde toepassing wordt gevraagd

2018 wordt het jaar van de Privacycommissie, die een rebranding is ondergaan naar de uiterst functionele, maar slaapverwekkende naam Gegevensbeschermingsautoriteit België. Het is deze instantie die samen met Staatssecretaris voor Privacy Philippe De Backer de krijtlijnen zal bepalen voor de handhaving van deze strenge regels in het bedrijfsleven.

Ondertussen zitten we als juristen nog steeds met veel vragen over enkele belangrijke praktische aspecten van de GDPR. Daniel Darc heeft ooit gezegd dat de praktijk de enige nuttige theorie is. Zo zal ook moeten blijken. Zo mooi de GDPR lijkt op papier, zo moeilijk is ze in de praktijk om te zetten.

Bij deze een warme oproep: geef aan hoe het bedrijfsleven zich op een realistische en praktische wijze verder kan voorbereiden. We kijken uit naar de aanbevelingen en adviezen van de Privacycommissie om een antwoord te vinden op onze vele praktische vragen. Uiteraard hebben we allen begrip voor de beperktheid aan middelen van de Privacycommissie, zowel in tijd als in personeel. Laat dit dan ook een oproep zijn naar de politiek om hierin verandering te brengen.

Goede voornemens

We hopen dan ook dat het goede voornemen voor de Privacycommissie een pragmatisch, maar doeltreffend beleid zal zijn. Pragmatisch in de zin dat het rekening houdt met de proportionaliteit van de verbintenissen. Doeltreffend in de zin dat het beleid enkel hen raakt die geraakt moeten worden.

Gelukkig houdt de GDPR al rekening met het principe van proportionaliteit. Denk maar aan de verminderde verplichtingen indien er minder dan 250 werknemers zijn of als er geen privacy risicovolle gegevens worden verwerkt. Alleszins moet er hard worden opgetreden tegen recente wantoestanden, zoals toen Uber een datalek van 100.000 persoonsgegevens gewoonweg verzweeg. Dergelijke gevallen vragen om strenge sancties. Er is kortom nood aan een realistische en pragmatische naleving van de privacywetgeving vanaf mei 2018.

Geschreven door Thomas Vermaerke