De Privacycommissie gaat vanaf 25 mei door het leven als de Gegevensbeschermingsautoriteit (GBA). Tegelijk hervormt ze zich van 16 commissarissen naar 5 vaste directeurs. Hoe dat er concreet zal uitzien is nog niet duidelijk. "Ik heb op de website van Data News mogen lezen dat ik de nieuwe voorzitter zal worden (een citaat van Staatssecretaris De Backer, nvdr.), maar bij mijn weten ben ik geen kandidaat." Voor ons zit Willem Debeuckelaere, al 13 jaar voorzitter van de Privacycommissie en de afgelopen twee jaar een van de voornaamste evangelisten om bedrijven richting GDPR te gidsen.
...

De Privacycommissie gaat vanaf 25 mei door het leven als de Gegevensbeschermingsautoriteit (GBA). Tegelijk hervormt ze zich van 16 commissarissen naar 5 vaste directeurs. Hoe dat er concreet zal uitzien is nog niet duidelijk. "Ik heb op de website van Data News mogen lezen dat ik de nieuwe voorzitter zal worden (een citaat van Staatssecretaris De Backer, nvdr.), maar bij mijn weten ben ik geen kandidaat." Voor ons zit Willem Debeuckelaere, al 13 jaar voorzitter van de Privacycommissie en de afgelopen twee jaar een van de voornaamste evangelisten om bedrijven richting GDPR te gidsen. Maar makkelijk wordt het alvast niet. "We zijn helemaal niet klaar, " zegt Debeuckelaere. "Europees zitten we wel in de kopgroep omdat we ons in de mate van het mogelijke goed hebben voorbereid. Maar we zeggen al jaren dat het onzinnig is om op twee jaar tijd zo'n belangrijke wijziging door te voeren." Debeuckelaere schuwt de kritiek niet, vooral dan naar de manier waarop Europa de wet heeft opgesteld, terwijl de toepassing ervan doorschuift naar de nationale autoriteiten. "De opzet was om het in verschillende stappen te doen waarbij de nationale autoriteiten zich eerst zouden herorganiseren en dan zouden kijken hoe de tekst van de GDPR, een heel boek, moet worden verteerd. Daarmee heeft de Europese Commissie ons weggelachen. De Commissie ging ons ook helpen met zaken als certificering. Maar ze beginnen er pas mee in mei van dit jaar." WILLEM DEBEUCKELAERE: Inderdaad. Ze zeggen zelf dat het allemaal op twee jaar tijd (2016-2018) klaar moet zijn, maar hun eerste effectieve steun komt pas in mei van dit jaar. Zeker naar kleine bedrijven en zelfstandigen toe, is het makkelijk koken met andermans geld. Er zou onder meer een programma komen om bepaalde sectoren te helpen. Wel... tegen eind januari mochten we ons voorstel indienen en dan zal er in de weken en maanden nadien gekeken worden wie er geld krijgt om dat uit te werken. Dat wordt dus iets voor het najaar van 2018. DEBEUCKELAERE: De zaken die klaar zijn, worden wel gecontroleerd en ook al gaan we niet langskomen, we kijken wel wat er verkeerd loopt. Als we vaststellen dat organisaties daar niet in meegaan, dan moeten we optreden. DEBEUCKELAERE: Een van de grootste misvattingen is dat iedereen nu een DPO (Data Protection Officer) nodig heeft. Het is vooral niet echt duidelijk. Bij de overheid moet het altijd. Voor de private sector gaat het vooral om grote verwerkers van persoonsgegevens. DEBEUCKELAERE: Dan moet er een verwerkingsverantwoordelijke zijn. Maar we gaan er van uit dat het vooral nodig is wanneer het verwerken van persoonsgegevens tot de core business hoort. Dan moet er zeker een DPO zijn. Ook de aard en omvang speelt mee. Een klein advocatenkantoor moet geen DPO hebben, maar een beroepsvereniging zoals een balie misschien wel, net zoals een kantoor met zestig advocaten misschien een eigen DPO kan nodig hebben. DEBEUCKELAERE: Dat zal sterk ad hoc worden ingevuld. Het advocatenkantoor waar iemand de gegevens kon stelen die hebben geleid tot de Panama Papers, daar zou je (gezien de omvang van de data die er zit, nvdr.) in principe een DPO voor nodig hebben. Een supermarktketen ook. Maar een handel in machine-onderdelen eerder niet. Het andere voorbeeld is de slager om de hoek, die verwerkt met een klantenkaart ook persoonsgegevens en heeft ook een lijst met leveranciers. Maar de verwerking van die persoonsgegevens gebeurt niet op grote schaal. Dan zijn er nog de bijzondere categorieën uit artikel 9: de verwerking van persoonsgegevens met strafrechtelijke feiten. Dan komen we weer terug naar onder meer advocatenkantoren. Maar daar moet men vooral samenwerken. In Frankrijk is er al een tiental jaar de CIL, Correspondant Informatique et Libertés, een soort DPO. Maar daar heeft gans het notariaat van Frankrijk twee DPO's, dat lijkt me haalbaar. DEBEUCKELAERE: De wet voorziet dat dit zowel door de privacycommissies als door private spelers kan, maar de meeste Europese gegevensbeschermingsautoriteiten zullen dit niet zelf doen. Wel zullen ze de voorwaarden samenstellen om anderen te accrediteren zodat private certificeringsorganisaties dit kunnen uitvoeren. Maar het is een misvatting dat een DPO gecertificeerd moet worden. De GDPR laat die kwestie zelf open. Het kan natuurlijk zijn dat er trainingen komen waaruit een certificaat volgt, maar het is niet dat wij die zullen of moeten uitreiken. DEBEUCKELAERE: Er is veel hype rond het begrip 'toestemming'. Het lijkt alsof, eens je toestemming hebt, dat alles mag. Dat is een stevige misvatting! Artikel 5 en 6 van de wetgeving gaan over het omgaan met persoonsgegevens en toestemming. Als je toestemming krijgt, moet dat altijd met die voorwaarden zijn: dataverwerking moet proportioneel en eerlijk zijn, er moet transparantie zijn en de gegevens moeten verdwijnen zodra ze niet meer nodig zijn. Het is niet zo dat je met toestemming van iemand plots alles mag. DEBEUCKELAERE: Dat is een tweede misvatting: als er een contractuele relatie is, dan mag je iemands persoonsgegevens verwerken. Wanneer ik een abonnement neem op Data News, dan hebben jullie uiteraard mijn adres- en betalingsgegevens nodig en is daar geen aparte toestemming voor nodig. Enerzijds maakt men van toestemming een soort passe-partout, anderzijds doet men alsof er voor alles nu een goedkeuring nodig is. Het is nochtans eenvoudig: toestemming kan je gebruiken om gegevens te mogen verwerken, maar die verwerking moet gebeuren volgens artikel 5 van de GDPR. DEBEUCKELAERE: Dat is het gerechtvaardigd belang. Naast toestemming, een contract, vitaal belang of wettelijke opdracht mag je ook persoonsgegevens verwerken zonder contract of opdracht, maar je moet zelf de afweging maken dat de inbreuk die je maakt niet in verhouding staat tot het eigen belang. Maar dat is een moeilijke oefening. DEBEUCKELAERE: Dat lijkt me proportioneel en relevant voor de persoon wiens gegevens zijn verwerkt. DEBEUCKELAERE: Dat is moeilijker. Zeker als een sportclub of sportwinkel die gegevens zou doorgeven aan een bank. DEBEUCKELAERE: Het besef bij financiële instellingen groeit vooral dat ze geld kunnen verdienen aan hun data. Een paar jaar terug was er een buitenlandse bank die expliciet aankondigde dat het big data en AI zou gebruiken om data uit hun klantenbestand te verkopen aan adverteerders. In de nasleep hiervan zijn veel Belgische banken hun gebruiksvoorwaarden gaan opentrekken ten nadele van hun klanten en ten voordele van hun eigen vrije omgang met data. Het besef dat niet alles mag met data is er, maar het besef dat het geld opbrengt ook. Wat me daarbij verontrust is dat hun privacyverklaring gewoon blijft staan. Dat klinkt als een prachtig werkstuk, een stevig statement. Maar intussen veranderen banken de gebruiksvoorwaarden en is de coherentie tussen de twee wel erg zoek. DEBEUCKELAERE: Onze brochure met dertienstappenplan ter hand nemen en beseffen dat er iets nieuws aankomt. Daarnaast moeten ze een inventaris opmaken met een register van de werking (van de bedrijfsprocessen, nvdr.). Dat zou elk bedrijf al moeten hebben. Er waren in het verleden wel een aantal zaken zoals personeelsbeheer, vrijgesteld. Maar in principe heb je wel zo'n register. DEBEUCKELAERE: Het is een kwestie van verantwoordelijkheid die ze moeten opnemen. Neem nu een risico-analyse: houden de processen die je hanteert een risico in? Maar in de meeste gevallen zullen daar geen grote problemen opduiken. In België zijn er niet zoveel grote inbreuken op privacy. Als het voorkomt dan is het eerder bij de grote spelers en is het gelinkt aan het gebruik van bepaalde software. DEBEUCKELAERE: Vandaag kan je al nakijken in het publiek register of een bepaalde persoonsverwerking staat aangegeven bij ons. Maar dat wordt weinig gebruikt en die aanmeldplicht verdwijnt ook onder de GDPR. Vanaf 25 mei moet je bij het bedrijf zelf, of hun DPO, aankloppen en vragen welke gegevens ze verzamelen en aan wie ze die eventueel doorspelen, waarom ze dat doen en hoe ze met die data omgaan. Eigenlijk moet al die informatie bijna onmiddellijk ter beschikking staan. DEBEUCKELAERE: Ik schat dat dat 1-2 jaar zal duren. Binnen België kan het zelfs vrij snel, we hopen een aantal campagnes te kunnen financieren om meer bewustmaking rond veiligheid te krijgen. Maar maatregelen en sancties komen er pas als we merken dat sommige organisaties achterop blijven hinken. DEBEUCKELAERE: De aandacht voor de privacyproblematiek is sinds 2007 sterk veranderd door de SWIFT-affaire (waarbij bleek dat de Amerikaanse schatkist financiële gegevens uit Europa kon inkijken, nvdr.). Toen kwam het besef bij bedrijven dat privacy een item was. We hebben daarna ook samengezeten met Beltug om het onderwerp bij technologiebedrijven op de kaart te zetten. Ik denk dat er nu weinig bedrijven zijn in België die er mee rotzooien. Zeker zodra grote verwerkers een DPO hebben, of, naar aanleiding van de wet met hun advocaat of met ons komen spreken. Daar wil ik niet over klagen. De grootste problemen zitten niet in België. Op dat vlak heb ik een andere mening dan Matthias Dobbelaere-Welvaert (privacy-jurist). Hij vindt dat we onze tijd verliezen door Facebook op de wet te wijzen, maar dat we wel de slager om de hoek moeten controleren. Dat vind ik volslagen belachelijk. DEBEUCKELAERE: Jawel, maar ik ben geschrokken van de bereidheid van mensen om het op te lossen. Een paar jaar geleden is er een belangrijke data-inbreuk geweest bij Mensura. Zij hebben toen wat krampachtig gereageerd, maar wel direct de nodige technische stappen uitgevoerd om het in de toekomst te voorkomen. Natuurlijk zijn er in België nog klungelaars bezig en gebeuren er zaken die niet mogen. Maar ik denk niet dat het op grote schaal gebeurt. DEBEUCKELAERE: We gaan bedrijven nog altijd in gebreke stellen. Dat kon en zal onder de GDPR ook blijven en daar ben ik blij mee. Ik vind niet dat we louter een repressiemachine moeten zijn. Dat is pas als men echt weigert om mee te werken of ter kwader trouw werkt. Al moeten de grootste stupiditeiten er wel uit. Geen HTTPS gebruiken om gevoelige gegevens te versturen is onaanvaardbaar, zelfs al is het niet ter kwader trouw. Wie met de wagen rijdt, moet ook zorgen dat het voertuig in orde is. Pieterjan Van Leemputten, fotografie Dieter Telemans"Het is niet zo dat je met toestemming van iemand plots alles mag" "We krijgen de helft meer bevoegdheden en taken met dezelfde portemonnee. Dat lukt niet" "In België zijn er niet zoveel grote inbreuken op privacy. Als het voorkomt dan is het eerder bij de grote spelers en vaak gelinkt aan bepaalde software" "Natuurlijk zijn er in België nog klungelaars bezig en gebeuren er zaken die niet mogen. Maar ik denk niet dat het op grote schaal gebeurt"