‘Bedrijven nog niet klaar voor GDPR door schrijnend gebrek aan duidelijke standaarden’
Dat veel bedrijven en organisaties hun databescherming nog niet op orde hebben, heeft volgens MICT-onderzoeker Glen Joris te maken met een gebrek aan duidelijke standaarden. “Binnen de krijtlijnen van de GDPR is er ruimte gelaten voor interpretatie, terwijl bedrijven niets liever willen dan duidelijke en uniforme afspraken.”
Op vrijdag 25 mei gaat de General Data Protection Regulation (GDPR) in voege. Deze nieuwe Europese wetgeving moet de bestaande uit 1992 vervangen en streeft ernaar om het beheer en de beveiliging van de gebruikersdata te verbeteren. Daarbij legt de vernieuwde verordening meer verantwoordelijkheid bij bedrijven, organisaties en de overheid.
Maar uit recent onderzoek van Glen Joris en Dr. Peter Merchant van de onderzoeksgroep Media, Inovatie, Communicatie en Technologie (MICT) aan de Universiteit Gent, blijkt dat Belgische bedrijven of organisaties zelfs nog niet in orde zijn met de bestaande – laat staan met de toekomstige – wetgeving. De onderzoekers vroegen bij 220 bedrijven, organisaties, steden en gemeenten hun data op, maar kregen van minder van de helft (106) respons. Daarvan deden 99 dat binnen de verplichte termijn van 45 werkdagen. Bovendien voerden slechts 39 bedrijven en organisaties die wel reageerden een identiteitscontrole uit. ‘Het blijkt dus perfect mogelijk om de data van anderen op te vragen zonder dat je jezelf moet identificeren’, zegt mede-onderzoeker Glen Joris.
Staan de Belgische bedrijven en organisaties er dan zo slecht voor? Staatssecretaris voor Privacy Philippe De Backer (Open VLD) zei eind januari nog dat België alleszins ‘on track’ is.
JORIS: ‘Ik vind zulke uitspraken momenteel niet stroken met wat je vanuit het werkveld hoort. Bedrijven en organisaties geven voldoende signalen dat ze er nog niet klaar voor zijn. Het werk van De Backer is pas klaar wanneer het werkveld klaar is en niet omgekeerd.
En ook bij de privacycommissie hoor je een andere stem dan die van staatssecretaris De Backer. De privacycommissie heeft een adviesraad om bedrijven en organisaties te ondersteunen. Maar om een antwoord te kunnen formuleren op de vragen en de noden van het werkveld, is er in de eerste plaats wel intensief contact vereist met de bedrijven en organisaties. Zolang die standaarden niet worden gesteld, tasten bedrijven en organisaties nog steeds in het duister over wat de GDPR precies vereist.
Het werkveld weet dus nog niet hoe ze precies op zo’n inzage-aanvraag moet reageren en wat het impliceert?
JORIS: ‘Inderdaad. Wanneer we het data-inzagerecht uitoefenden, kregen we wat zorgde voor een mengelmoes aan bestandsformaten terug, van PDF-bestanden tot JPEG-afbeeldingen. Er was zelfs een organisatie die een printscreen had genomen van haar eigen klantenbestand. Als je als consument zulke bestanden ontvangt, werpt dat alleen nog maar meer vragen op.
De Europese regelgeving heeft met de GDPR een aantal krijtlijnen uitgetekend waaraan bedrijven, organisaties, steden en gemeenten moeten voldoen. Maar binnen die krijtlijnen is er nog wel ruimte gelaten voor interpretatie, terwijl de bedrijven niets liever willen dan duidelijke en uniforme afspraken. Dat duidt op een schrijnend gebrek aan duidelijke standaarden.’
Waarom blijkt het voor bedrijven al bij al toch zo moeilijk om aan deze nieuwe regelgeving te voldoen? Het stond aanvankelijk al in de sterren geschreven dat de deadline van 25 mei nooit gehaald zal worden. Ligt de verantwoordelijkheid daarvoor enkel bij de politiek?
JORIS: ‘Nee, maar laat me duidelijk vooropstellen dat er zowel voor het bedrijfsleven als voor de politiek verzachtende omstandigheden zijn. We mogen niet vergeten dat de GDPR een serieuze trendbreuk met de vorige wetgeving vormt. In tegenstelling tot de privacywetgeving van 1992 zet ze meer in op verantwoording en transparantie. Dat betekent voor het bedrijfsleven én voor de consument een niet te onderschatten mentaliteitswijziging. Vroeger stelden bedrijven en organisaties zich amper tot geen vragen bij het privacyvraagstuk. Data waren en zijn immers goud waard, dus werden ze ook onverkort binnengehaald, verwerkt en eventueel doorverkocht. De bedrijfssystemen voor hun databeheer zijn vanuit deze commerciële logica opgebouwd zonder dat er veel fundamentele vragen werden gesteld. De GDPR vereist eigenlijk dat deze systemen helemaal opnieuw worden opgebouwd. Zoiets heeft natuurlijk tijd nodig.
Dat grote bedrijven of organisaties pas enkele weken voor de deadline van 25 mei een vacature online hebben geplaatst voor een data protection officer, toont aan dat ze de nieuwe regelgeving niet serieus nemen.
Glen Joris (MICT)
Bovendien worstelen bedrijven en organisaties ook met de zoektocht naar geschikte personen die de GDPR in de organisatie moeten kunnen omzetten. Het vergt immers juridische, technische administratieve, communicatieve én organisatorische vaardigheden. Zulke profielen vind je niet van de ene op de andere dag. Thomas More biedt wel een opleiding die relatief nauw aansluit bij dat profiel, maar al bij al is het opleidingsaanbod nog relatief schaars. Het stuit me daarentegen veel meer voor de borst dat grote bedrijven of organisaties pas enkele weken voor de deadline van 25 mei een vacature online hebben geplaatst voor een data protection officer (DPO). Dat toont vooral aan dat ze de nieuwe regelgeving nog steeds niet serieus nemen.
Welke stappen kan de politiek en het bedrijfsleven dan wel ondernemen om zo snel mogelijk met de Europese regelgeving op orde te komen?
JORIS: ‘Mij lijkt het alvast geen goed idee om de bedrijven nu plots veel meer onder druk te gaan zetten. Ik sluit me volledig aan bij staatssecretaris De Backer als hij zegt dat dit een evolutie is, en geen revolutie. Er wordt te veel gefocust op de exacte datum waarop bedrijven en organisaties in principe aan de regelgeving moeten voldoen. Het lijkt me veel belangrijker dat het privacythema hoe langer hoe meer de aandacht krijgt die het verdient. Al wil dat voor alle duidelijkheid niet zeggen dat we bij de pakken mogen blijven zitten. ‘
De praktijken van Cambridge Analytica zouden in principe niet meer kunnen voorvallen onder de GDPR
Denkt u dat consumenten vanaf 25 mei plots massaal hun data-inzagerecht zullen uitoefenen? Of is de GDPR eerder een principiële kwestie?
JORIS: ‘Een massale stormloop verwacht ik inderdaad niet, maar het is inderdaad een meer fundamentele kwestie. In de Verenigde Staten zagen we onlangs dat Cambridge Analytica er in was geslaagd om onder valse voorwendselen data van miljoenen gebruikers te gebruiken voor de Trump-campagne. De Amerikaanse president heeft ondertussen de Verenigde Staten teruggetrokken uit het klimaatakkoord van Parijs waarvan de gevolgen niet te onderschatten zijn. Privacy stopt dus niet aan de voordeur. De praktijken van Cambridge Analytica zouden in principe niet meer kunnen voorvallen onder de GDPR, op voorwaarde dat er aan de regelgeving wordt voldaan tenminste. Daarvoor is er weliswaar ook afdoende controle nodig. Ook daar is nog werk voor de boeg.
Reactie kabinet De Backer: ‘Werk van lange adem’
Op het kabinet van staatssecretaris voor Privacy Philippe De Backer betekenen de onderzoeksresultaten niet meteen dat de GDPR momenteel onvoldoende wordt gerespecteerd. ‘Wel integendeel, het onderzoek toont vooral aan dat de vorige privacywetgeving uit 1992 dringend aan een vernieuwing toe was. Er bestond te weinig kennis over, de wetgeving werd niet gerespecteerd én het ontbrak aan controle op. Net daarom komt de nieuwe verordening als geroepen’, zo zegt woordvoerder Lotte Vanderstockt.
‘Bovendien werd de hervorming van de privacycommissie in december unaniem goedgekeurd. De privacycommissie wordt vervangen door de Gegevensbeschermingsautoriteit die een betere controlecapaciteit krijgt. Weigert een bedrijf herhaaldelijk om zich na een klacht aan de wet aan te passen, kunnen de sancties oplopen tot 4 procent van de omzet. Bovendien zal deze gegevensbeschermingsautoriteit in de toekomst proactiever communiceren.’
Daarnaast ziet het kabinet De Backer ook een betere toekomst wat betreft de adviesraad van de privacycommissie. ‘Er komt naast de controlecapaciteit een kenniscentrum die aan de de bedrijven en organisaties informatie en aanbevelingen zal verstrekken in het kader van de GDPR. Daarbovenop komt er ook een reflectieraad die de samenleving moet weerspiegelen en een platform moet bieden’, aldus Vanderstockt.
Maar de reflectieraad kan enkel niet-bindende adviezen presenteren en wordt net als het kenniscentrum pas officieel opgericht op 25 mei, de dag waarop de wetgeving van kracht gaat en de bedrijven dus aan de wetgeving zouden moeten voldoen. Volgens Vanderstockt zijn dit alvast geen vijgen na Pasen. ‘Er is er de laatste maanden en weken echter veel progressie gemaakt om de bedrijven te informeren over de GDPR en het data-inzagerecht. Bovendien moeten we ons geen illusies maken: niet elk bedrijf zal op 25 mei perfect in orde zal zijn met de nieuwe wetgeving. Dit is een werk van lange adem en we zullen er samen met de Belgische bedrijven, organisaties en overheden alles aan doen om zo snel mogelijk aan de nieuwe wetgeving te voldoen’.
Fout opgemerkt of meer nieuws? Meld het hier