Op vrijdag 25 mei gaat de General Data Protection Regulation (GDPR) in voege. Deze nieuwe Europese wetgeving moet de bestaande uit 1992 vervangen en streeft ernaar om het beheer en de beveiliging van de gebruikersdata te verbeteren. Daarbij legt de vernieuwde verordening meer verantwoordelijkheid bij bedrijven, organisaties en de overheid.
...

Op vrijdag 25 mei gaat de General Data Protection Regulation (GDPR) in voege. Deze nieuwe Europese wetgeving moet de bestaande uit 1992 vervangen en streeft ernaar om het beheer en de beveiliging van de gebruikersdata te verbeteren. Daarbij legt de vernieuwde verordening meer verantwoordelijkheid bij bedrijven, organisaties en de overheid. Maar uit recent onderzoek van Glen Joris en Dr. Peter Merchant van de onderzoeksgroep Media, Inovatie, Communicatie en Technologie (MICT) aan de Universiteit Gent, blijkt dat Belgische bedrijven of organisaties zelfs nog niet in orde zijn met de bestaande - laat staan met de toekomstige - wetgeving. De onderzoekers vroegen bij 220 bedrijven, organisaties, steden en gemeenten hun data op, maar kregen van minder van de helft (106) respons. Daarvan deden 99 dat binnen de verplichte termijn van 45 werkdagen. Bovendien voerden slechts 39 bedrijven en organisaties die wel reageerden een identiteitscontrole uit. 'Het blijkt dus perfect mogelijk om de data van anderen op te vragen zonder dat je jezelf moet identificeren', zegt mede-onderzoeker Glen Joris. Staan de Belgische bedrijven en organisaties er dan zo slecht voor? Staatssecretaris voor Privacy Philippe De Backer (Open VLD) zei eind januari nog dat België alleszins 'on track' is. JORIS: 'Ik vind zulke uitspraken momenteel niet stroken met wat je vanuit het werkveld hoort. Bedrijven en organisaties geven voldoende signalen dat ze er nog niet klaar voor zijn. Het werk van De Backer is pas klaar wanneer het werkveld klaar is en niet omgekeerd. En ook bij de privacycommissie hoor je een andere stem dan die van staatssecretaris De Backer. De privacycommissie heeft een adviesraad om bedrijven en organisaties te ondersteunen. Maar om een antwoord te kunnen formuleren op de vragen en de noden van het werkveld, is er in de eerste plaats wel intensief contact vereist met de bedrijven en organisaties. Zolang die standaarden niet worden gesteld, tasten bedrijven en organisaties nog steeds in het duister over wat de GDPR precies vereist. Het werkveld weet dus nog niet hoe ze precies op zo'n inzage-aanvraag moet reageren en wat het impliceert? JORIS: 'Inderdaad. Wanneer we het data-inzagerecht uitoefenden, kregen we wat zorgde voor een mengelmoes aan bestandsformaten terug, van PDF-bestanden tot JPEG-afbeeldingen. Er was zelfs een organisatie die een printscreen had genomen van haar eigen klantenbestand. Als je als consument zulke bestanden ontvangt, werpt dat alleen nog maar meer vragen op. De Europese regelgeving heeft met de GDPR een aantal krijtlijnen uitgetekend waaraan bedrijven, organisaties, steden en gemeenten moeten voldoen. Maar binnen die krijtlijnen is er nog wel ruimte gelaten voor interpretatie, terwijl de bedrijven niets liever willen dan duidelijke en uniforme afspraken. Dat duidt op een schrijnend gebrek aan duidelijke standaarden.'Waarom blijkt het voor bedrijven al bij al toch zo moeilijk om aan deze nieuwe regelgeving te voldoen? Het stond aanvankelijk al in de sterren geschreven dat de deadline van 25 mei nooit gehaald zal worden. Ligt de verantwoordelijkheid daarvoor enkel bij de politiek?JORIS: 'Nee, maar laat me duidelijk vooropstellen dat er zowel voor het bedrijfsleven als voor de politiek verzachtende omstandigheden zijn. We mogen niet vergeten dat de GDPR een serieuze trendbreuk met de vorige wetgeving vormt. In tegenstelling tot de privacywetgeving van 1992 zet ze meer in op verantwoording en transparantie. Dat betekent voor het bedrijfsleven én voor de consument een niet te onderschatten mentaliteitswijziging. Vroeger stelden bedrijven en organisaties zich amper tot geen vragen bij het privacyvraagstuk. Data waren en zijn immers goud waard, dus werden ze ook onverkort binnengehaald, verwerkt en eventueel doorverkocht. De bedrijfssystemen voor hun databeheer zijn vanuit deze commerciële logica opgebouwd zonder dat er veel fundamentele vragen werden gesteld. De GDPR vereist eigenlijk dat deze systemen helemaal opnieuw worden opgebouwd. Zoiets heeft natuurlijk tijd nodig.Bovendien worstelen bedrijven en organisaties ook met de zoektocht naar geschikte personen die de GDPR in de organisatie moeten kunnen omzetten. Het vergt immers juridische, technische administratieve, communicatieve én organisatorische vaardigheden. Zulke profielen vind je niet van de ene op de andere dag. Thomas More biedt wel een opleiding die relatief nauw aansluit bij dat profiel, maar al bij al is het opleidingsaanbod nog relatief schaars. Het stuit me daarentegen veel meer voor de borst dat grote bedrijven of organisaties pas enkele weken voor de deadline van 25 mei een vacature online hebben geplaatst voor een data protection officer (DPO). Dat toont vooral aan dat ze de nieuwe regelgeving nog steeds niet serieus nemen. Welke stappen kan de politiek en het bedrijfsleven dan wel ondernemen om zo snel mogelijk met de Europese regelgeving op orde te komen?JORIS: 'Mij lijkt het alvast geen goed idee om de bedrijven nu plots veel meer onder druk te gaan zetten. Ik sluit me volledig aan bij staatssecretaris De Backer als hij zegt dat dit een evolutie is, en geen revolutie. Er wordt te veel gefocust op de exacte datum waarop bedrijven en organisaties in principe aan de regelgeving moeten voldoen. Het lijkt me veel belangrijker dat het privacythema hoe langer hoe meer de aandacht krijgt die het verdient. Al wil dat voor alle duidelijkheid niet zeggen dat we bij de pakken mogen blijven zitten. ' Denkt u dat consumenten vanaf 25 mei plots massaal hun data-inzagerecht zullen uitoefenen? Of is de GDPR eerder een principiële kwestie? JORIS: 'Een massale stormloop verwacht ik inderdaad niet, maar het is inderdaad een meer fundamentele kwestie. In de Verenigde Staten zagen we onlangs dat Cambridge Analytica er in was geslaagd om onder valse voorwendselen data van miljoenen gebruikers te gebruiken voor de Trump-campagne. De Amerikaanse president heeft ondertussen de Verenigde Staten teruggetrokken uit het klimaatakkoord van Parijs waarvan de gevolgen niet te onderschatten zijn. Privacy stopt dus niet aan de voordeur. De praktijken van Cambridge Analytica zouden in principe niet meer kunnen voorvallen onder de GDPR, op voorwaarde dat er aan de regelgeving wordt voldaan tenminste. Daarvoor is er weliswaar ook afdoende controle nodig. Ook daar is nog werk voor de boeg.