2018 is een kantelmoment voor de Belgische Privacycommissie. Door de GDPR vergroot het takenpakket. Tegelijk wordt ook de organisatie zelf hervormd zonder extra middelen. Boeiende, maar niet altijd vrolijke tijden.
De Privacycommissie gaat vanaf 25 mei door het leven als de Gegevensbeschermingsautoriteit (GBA). Tegelijk hervormt ze zich van 16 commissarissen naar 5 vaste directeurs. Hoe dat er concreet zal uitzien is nog niet duidelijk. “Ik heb op de website van Data News mogen lezen dat ik de nieuwe voorzitter zal worden (een citaat van Staatssecretaris De Backer, nvdr), maar bij mijn weten ben ik geen kandidaat.” Voor ons zit Willem Debeuckelaere, al 13 jaar voorzitter van de Privacycommissie en de afgelopen twee jaar een van de voornaamste evangelisten om bedrijven richting GDPR te gidsen.
Maar makkelijk wordt het alvast niet. “We zijn helemaal niet klaar,” zegt Debeuckelaere. “Europees zitten we wel in de kopgroep omdat we ons in de mate van het mogelijke goed hebben voorbereid. Maar we zeggen al jaren dat het onzinnig is om op twee jaar tijd zo’n belangrijke wijziging door te voeren.”
Debeuckelaere schuwt de kritiek niet, vooral dan naar de manier waarop Europa de wet heeft opgesteld, terwijl de toepassing ervan doorschuift naar de nationale autoriteiten. “De opzet was om het in verschillende stappen te doen waarbij de nationale autoriteiten zich eerst zouden herorganiseren en dan zouden kijken hoe de tekst van de GDPR, een heel boek, moet worden verteerd. Daarmee heeft de Europese Commissie ons weggelachen. De Commissie ging ons ook helpen met zaken als certificering. Maar ze beginnen er pas mee in mei van dit jaar.”
Dat is vrij laat voor een wet die op de 25e van die maand van kracht gaat.
WILLEM DEBEUCKELAERE: Inderdaad. Ze zeggen zelf dat het allemaal op twee jaar tijd (2016-2018) klaar moet zijn, maar hun eerste effective steun is pas voor mei van dit jaar. Zeker naar kleine bedrijven en zelfstandigen toe, is het makkelijk koken met andermans geld. Er zou onder meer een programma komen om bepaalde sectoren te helpen. Wel… tegen eind januari mochten we ons voorstel indienen en dan zal er in de weken en maanden nadien gekeken worden wie er geld krijgt om dat uit te werken. Dat wordt dus iets voor het najaar van 2018.
U gaf eerder in Trends aan dat de nieuwe autoriteit niet meteen zal binnenvallen bij bedrijven. Riskeert u dan niet dat sommigen laks blijven omgaan met de wet?
DEBEUCKELAERE: De zaken die klaar zijn, worden wel gecontroleerd en ook al gaan we niet langskomen, we kijken wel wat er verkeerd loopt. Als we vaststellen dat organisaties daar niet in meegaan, dan moeten we optreden.
Welke misvatting hoort u het vaakst?
Natuurlijk zijn er in België nog klungelaars bezig en gebeuren er zaken die niet mogen. Maar ik denk niet dat het op grote schaal gebeurt
DEBEUCKELAERE: Een van de grootste misvattingen is dat iedereen nu een DPO (Data Protection Officer) nodig heeft. Het is vooral niet echt duidelijk. Bij de overheid moet het altijd. Voor de private sector gaat het vooral om grote verwerkers van persoonsgegevens.
Ook als ze de verwerking uitbesteden?
DEBEUCKELAERE: Dan moet er een verwerkingsverantwoordelijke zijn. Maar we gaan er van uit dat het vooral nodig is wanneer het verwerken van persoonsgegevens tot de core business hoort. Dan moet er zeker een DPO zijn. Ook de aard en omvang speelt mee. Een klein advocatenkantoor moet geen DPO hebben, maar een beroepsvereniging zoals een balie misschien wel, net zoals een kantoor met zestig advocaten misschien een eigen DPO kan nodig hebben.
Waar trekt u dan de grens? 20 medewerkers? 100 klanten?
DEBEUCKELAERE: Dat zal sterk ad hoc worden ingevuld. Het advocatenkantoor waar iemand de gegevens kon stelen die hebben geleid tot de Panama Papers, daar zou je (gezien de omvang van de data die er is, nvdr.) in principe een DPO voor nodig hebben. Een supermarktketen ook. Maar een handel in machine-onderdelen eerder niet.
Het andere voorbeeld is de slager om de hoek, die verwerkt met een klantenkaart ook persoonsgegevens en heeft ook een lijst met leveranciers. Maar de verwerking van die persoonsgegevens gebeurt niet op grote schaal.
Dan zijn er nog de bijzondere categorieën uit artikel 9: de verwerking van persoonsgegevens met strafrechtelijke feiten. Dan komen we weer terug naar onder meer advocatenkantoren. Maar daar moet men vooral samenwerken. In Frankrijk is er al een tiental jaar de CIL, Correspondant Informatique et Libertés, een soort DPO. Maar daar heeft gans het notariaat van Frankrijk twee DPO’s, dat lijkt me haalbaar.
De nieuwe wet voorziet ook ruimte voor de certificering. Wie zal die uitvoeren?
Het is niet zo dat je met toestemming van iemand plots alles mag
DEBEUCKELAERE: De wet voorziet dat dit zowel door de privacycommissies als door private spelers kan, maar de meeste Europese gegevensbeschermingsautoriteiten zullen dit niet zelf doen. Wel zullen ze de voorwaarden samenstellen om anderen te accrediteren zodat private certificeringsorganisaties dit kunnen uitvoeren.
Maar het is een misvatting dat een DPO moet gecertificeerd worden. De GDPR laat die kwestie zelf open. Het kan natuurlijk zijn dat er trainingen komen waaruit een certificaat volgt, maar het is niet dat wij die zullen of moeten uitreiken.
Zijn er nog misvattingen die eigenlijk fout zijn?
DEBEUCKELAERE: Er is veel hype rond het begrip ‘toestemming’. Het lijkt alsof, eens je toestemming hebt, dat alles mag. Dat is een stevige misvatting! Artikel 5 en 6 van de wetgeving gaan over het omgaan met persoonsgegevens en toestemming. Als je toestemming krijgt, moet dat altijd met die voorwaarden zijn: dataverwerking moet proportioneel en eerlijk zijn, er moet transparantie zijn en de gegevens moeten verdwijnen zodra ze niet meer nodig zijn. Het is niet zo dat je met toestemming van iemand plots alles mag.
Veel mailinglijsten vragen tegenwoordig om herbevestiging om in regel te zijn.
DEBEUCKELAERE: Dat is een tweede misvatting: als er een contractuele relatie is, dan mag je iemands persoonsgegevens verwerken. Wanneer ik een abonnement neem op Data News, dan hebben jullie uiteraard mijn adres- en betalingsgegvens nodig en is daar geen aparte toestemming voor nodig. Enerzijds maakt men van toestemming een soort passe-partout, anderzijds doet men alsof er voor alles nu een goedkeuring nodig is. Het is nochtans eenvoudig: toestemming kan je gebruiken om gegevens te mogen verwerken, maar die verwerking moet gebeuren volgens artikel 5 van de GDPR.
Maar een dataverzamelaar mag wel zelf oordelen in sommige gevallen?
DEBEUCKELAERE: Dat is het gerechtvaardigd belang. Naast toestemming, een contract, vitaal belang of wettelijke opdracht mag je ook persoonsgegevens verwerken zonder contract of opdracht, maar je moet zelf de afweging maken dat de inbreuk die je maakt niet in verhouding staat tot het eigen belang. Maar dat is een moeilijke oefening.
Valt daar een lijn in te trekken? Is het proportioneel dat een sportclub waar je tien keer gaat zwemmen je een folder opstuurt specifiek over het zwemmen?
DEBEUCKELAERE: Dat lijkt me proportioneel en relevant voor de persoon wiens gegevens zijn verwerkt.
Maar wat als een bank je een beter of slechter tarief geeft omdat ze gegevens hebben over je sportgedrag?
DEBEUCKELAERE: Dat is moeilijker. Zeker als een sportclub of sportwinkel die gegevens zou doorgeven aan een bank.
Is het besef er vandaag niet, dat je als bedrijf niet met persoonlijke data mag ‘smossen’?
DEBEUCKELAERE: Het besef bij financiële instellingen groeit vooral dat ze geld kunnen verdienen aan hun data. Een paar jaar terug was er een buitenlandse bank die expliciet aankondigde dat het big data en AI zou gebruiken om data uit hun klantenbestand te verkopen aan adverteerders. In de nasleep hiervan zijn veel Belgische banken hun gebruiksvoorwaarden gaan opentrekken ten nadele van hun klanten en ten voordele van hun eigen vrije omgang met data. Het besef dat niet alles mag met data is er, maar het besef dat het geld opbrengt ook.
Wat me daarbij verontrust is dat hun privacyverklaring gewoon blijft staan. Dat klinkt als een prachtig werkstuk, een stevig statement. Maar intussen veranderen banken de gebruiksvoorwaarden en is de coherentie tussen de twee wel erg zoek.
De kans is klein, maar stel dat een bedrijf vandaag voor het eerst pas hoort over GDPR. Wat moeten ze dan doen?
DEBEUCKELAERE: Onze brochure met dertienstappenplan ter hand nemen en beseffen dat er iets nieuws aankomt. Daarnaast moeten ze een inventaris opmaken met een register van de werking (van de bedrijfsprocessen, nvdr.). Dat zou elk bedrijf al moeten hebben. Er waren in het verleden wel een aantal zaken zoals personeelsbeheer, vrijgesteld. Maar in principe heb je wel zo’n register.
Kan u er inkomen dat sommige kmo’s geen zin of middelen hebben om alle stappen te ondernemen? De wet gaat breed en je kan jezelf net compliant genoeg of zeer overdreven compliant maken.
DEBEUCKELAERE: Het is een kwestie van verantwoordelijkheid die ze moeten opnemen. Neem nu een risico-analyse: houden de processen die je hanteert een risico in? Maar in de meeste gevallen zullen daar geen grote problemen opduiken. In België zijn er niet zoveel grote inbreuken op privacy. Als het voorkomt dan is het eerder bij de grote spelers en is het gelinkt aan het gebruik van bepaalde software.
Wat kan je als burger doen als je denkt dat een organisatie onvoorzichtig omspringt met je gegevens?
DEBEUCKELAERE: Vandaag kan je al nakijken in het publiek register of een bepaalde persoonsverwerking staat aangegeven bij ons. Maar dat wordt weinig gebruikt en die aanmeldplicht verdwijnt ook onder de GDPR.
Vanaf 25 mei moet je bij het bedrijf zelf, of hun DPO, aankloppen en vragen welke gegevens ze verzamelen en aan wie ze die eventueel doorspelen, waarom ze dat doen en hoe ze met die data omgaan. Eigenlijk moet al die informatie bijna onmiddellijk ter beschikking staan.
U geeft zelf aan dat de nieuwe GBA niet meteen klaar zal zijn, net zoals veel bedrijven dat nog niet zijn. Wanneer kan het op kruissnelheid komen?
DEBEUCKELAERE: Ik schat dat dat 1-2 jaar zal duren. Binnen België kan het zelfs vrij snel, we hopen een aantal campagnes te kunnen financieren om meer bewustmaking rond veiligheid te krijgen. Maar maatregelen en sancties komen er pas als we merken dat sommige organisaties achterop blijven hinken.
Hoe is uw relatie met grote dataverwerkers? We weten dat Facebook u niet toejuicht maar dat Telenet en Proximus wel komen melden dat ze gepersonaliseerde reclame hanteren. Zijn bedrijven bereid om te praten, of is het eerder uit juridische plicht?
DEBEUCKELAERE: De aandacht voor de privacyproblematiek is sinds 2007 sterk veranderd door de SWIFT-affaire (waarbij bleek dat de Amerikaanse schatkist financiële gegevens uit Europa kon inkijken, nvdr.). Toen kwam het besef bij bedrijven dat privacy een item was. We hebben daarna ook samengezeten met Beltug om het onderwerp bij technologiebedrijven op de kaart te zetten.
In België zijn er niet zoveel grote inbreuken op privacy. Als het voorkomt dan is het eerder bij de grote spelers en vaak gelinkt aan bepaalde software
Ik denk dat er nu weinig bedrijven zijn in België die er mee rotzooien. Zeker zodra grote verwerkers een DPO hebben, of, naar aanleiding van de wet met hun advocaat of met ons komen spreken. Daar wil ik niet over klagen. De grootste problemen zitten niet in België. Op dat vlak heb ik een andere mening dan Matthias Dobbelaere-Welvaert. Hij vindt dat we onze tijd verliezen door Facebook op de wet te wijzen, maar dat we wel de slager om de hoek moeten controleren. Dat vind ik volslagen belachelijk.
Maken kleinere spelers geen fouten?
DEBEUCKELAERE: Jawel, maar ik ben geschrokken van de bereidheid van mensen om het op te lossen. Een paar jaar geleden is er een belangrijke data-inbreuk geweest bij Mensura. Zij hebben toen wat krampachtig gereageerd, maar wel direct de nodige technische stappen uitgevoerd om het in de toekomst te voorkomen. Natuurlijk zijn er in België nog klungelaars bezig en gebeuren er zaken die niet mogen. Maar ik denk niet dat het op grote schaal gebeurt.
Kan u daar mee leven? Dat er fouten gebeuren, en vergevingsgezind zijn als er maatregelen komen?
DEBEUCKELAERE: We gaan bedrijven nog altijd in gebreke stellen. Dat kon en zal onder de GDPR ook blijven en daar ben ik blij mee. Ik vind niet dat we louter een repressiemachine moeten zijn. Dat is pas als men echt weigert om mee te werken of ter kwader trouw werkt. Al moeten de grootste stupiditeiten er wel uit. Geen HTTPS gebruiken om gevoelige gegevens te versturen is onaanvaardbaar, zelfs al is het niet ter kwader trouw. Wie met de wagen rijdt moet ook zorgen dat het voertuig in orde is.
Meer taken, weinig middelen
In de marge van het interview laat Debeuckelaere enkele malen verstaan dat zijn organisatie onder stevige druk staat. Het takenpakket breidt flink uit, tegelijk komen er over de nieuwe gegevenswet ook een stortvloed aan vragen binnen. Dat zorgt er voor dat de organisatie in een hectische periode zit waar de middelen schaars zijn.
In politieke hoek klinkt het dat de hervorming zelf budgetneutraal is. Omdat de autoriteit van 16 commissarissen naar 5 directeurs gaat, komen er in theorie wel meer middelen vrij. Debeuckelaere nuanceert dat. “Politici horen het niet graag maar dat is onzin. We krijgen de helft meer bevoegdheden en taken, waaronder arbeidsintensieve controletaken en rechtshandhaving, met dezelfde portemonnee. Dat lukt niet. Het wordt bovendien een zeer technische taak, dus je moet die technische mensen vinden en houden terwijl ze in andere sectoren beter betaald worden. Vroeger kon je mensen nog charmeren met het voordeel van de vaste benoeming, maar dat wordt ook afgebouwd. Wat blijft er dan nog over? Een treinabonnement naar Brussel.”
“We krijgen de helft meer bevoegdheden en taken met dezelfde portemonnee. Dat lukt niet”
De komst van de GDPR zorgt tegelijk voor veel vragen bij het publiek. Daarom wou Debeuckelaere een task force van zestien extra mensen die gedurende twee jaar (midden 2017 tot midden 2018) de communicatie van de Gegevensbeschermingsautoriteit zouden ondersteunen. Het gaat om mensen die kunnen informeren per sector, lezingen geven namens de autoriteit of handleidingen opstellen. Maar daar kreeg hij geen groen licht voor.
“Vandaag doen we dat dus grotendeels met dezelfde ploeg. Maar dat is bovenop ons huidig werk waar we adviezen geven en vragen of klachten behandelen. Dat zijn er nu meer dan 5.000 per jaar met 70 aanbevelingen per jaar. Eigenlijk zijn we op dit moment aan het doldraaien. Dat kan een maand of misschien een half jaar. Maar ik voel bij onze mensen een vorm van uitputting.”
Voor de extra taken die er door de GDPR bijkomen (los van de communicatie over de wetgeving) kan de organisatie wel een paar extra krachten aanwerven. Omdat de totale scope van die taken nog onduidelijk is, wordt dat jaarlijks bekeken. Op dit moment gaat het om drie extra krachten, waarvan er al één iemand is aangenomen. Tegelijk komt er een Data Protection Officer, al zal die persoon zowel voor de nieuwe Gegevensbeschermingsautoriteit als voor andere organen de datahandhaving in goede banen leiden.
En Facebook?
Idealiter, zo zegt Debeuckelaere, moet er een Europese privacyautoriteit komen. “De voornaamste problemen zijn meestal Europees of internationaal. Dan moet je niet sukkelen op 28 nationale niveau’s maar dat heeft men in Europa niet willen aannemen.” Debeuckelaere heeft het dan in het bijzonder over de techreuzen in Silicon Valley. “We zitten vandaag met Google, Amazon, Apple en Facebook. Als daar een probleem opduikt, dan is het ‘kom maar naar de rechter in Mountain View, in België heb je aan ons niets te zeggen’. Maar je kan niet beweren dat we daar hier geen zeggenschap over hebben als het gaat om de verwerking van gegevens van miljoenen Belgische burgers.”
Op dat vlak belooft GDPR geen beterschap. “De situatie zal nog slechter worden. Een bedrijf dat in de EU actief is, kon tot nu toe in elk Europees land aangepakt worden. Google heeft zijn Europese hoofdzetel in Ierland, maar werd toch eerst door Spanje aangepakt. Vanaf 25 mei zal die bevoegdheid beperkt blijven tot de autoriteit van het land met de voornaamste vestiging.” Dat wil in het geval van Facebook of Google zeggen dat enkel de Ierse GBA actie mag ondernemen. “Ik verwacht daar dus wel enige shopping om zich te vestigen waar de privacywetgeving het minst streng wordt toegepast.” Debeuckelaere is wel optimistisch: “Bij de Ierse autoriteit zijn de middelen intussen wel verdrievoudigd met een verdubbeling van het aantal mensen. Er is ook een nieuwe voorzitster die controles wil uitvoeren. Maar de regel van de ‘main establishment’ is een enorm cadeau voor multinationals. Dat is natuurlijk een vereenvoudiging tegenover de huidige situatie, maar ik had daar liever één Europese privacycommissie voor gezien.”
Fout opgemerkt of meer nieuws? Meld het hier