Willem Debeuckelaere, hoofd van de Privacycommissie:”We zijn helemaal niet klaar”

2018 is een kantelmoment voor de Belgische Privacycommissie. Door de GDPR vergroot het takenpakket. Tegelijk wordt ook de organisatie zelf hervormd zonder extra middelen. Boeiende, maar niet altijd vrolijke tijden.

De Privacycommissie gaat vanaf 25 mei door het leven als de Gegevensbeschermingsautoriteit (GBA). Tegelijk hervormt ze zich van 16 commissarissen naar 5 vaste directeurs. Hoe dat er concreet zal uitzien is nog niet duidelijk. “Ik heb op de website van Data News mogen lezen dat ik de nieuwe voorzitter zal worden (een citaat van Staatssecretaris De Backer, nvdr.), maar bij mijn weten ben ik geen kandidaat.” Voor ons zit Willem Debeuckelaere, al 13 jaar voorzitter van de Privacycommissie en de afgelopen twee jaar een van de voornaamste evangelisten om bedrijven richting GDPR te gidsen.

Maar makkelijk wordt het alvast niet. “We zijn helemaal niet klaar, ” zegt Debeuckelaere. “Europees zitten we wel in de kopgroep omdat we ons in de mate van het mogelijke goed hebben voorbereid. Maar we zeggen al jaren dat het onzinnig is om op twee jaar tijd zo’n belangrijke wijziging door te voeren.”

Debeuckelaere schuwt de kritiek niet, vooral dan naar de manier waarop Europa de wet heeft opgesteld, terwijl de toepassing ervan doorschuift naar de nationale autoriteiten. “De opzet was om het in verschillende stappen te doen waarbij de nationale autoriteiten zich eerst zouden herorganiseren en dan zouden kijken hoe de tekst van de GDPR, een heel boek, moet worden verteerd. Daarmee heeft de Europese Commissie ons weggelachen. De Commissie ging ons ook helpen met zaken als certificering. Maar ze beginnen er pas mee in mei van dit jaar.”

Dat is vrij laat voor een wet die op de 25e van die maand van kracht gaat.

WILLEM DEBEUCKELAERE: Inderdaad. Ze zeggen zelf dat het allemaal op twee jaar tijd (2016-2018) klaar moet zijn, maar hun eerste effectieve steun komt pas in mei van dit jaar. Zeker naar kleine bedrijven en zelfstandigen toe, is het makkelijk koken met andermans geld. Er zou onder meer een programma komen om bepaalde sectoren te helpen. Wel… tegen eind januari mochten we ons voorstel indienen en dan zal er in de weken en maanden nadien gekeken worden wie er geld krijgt om dat uit te werken. Dat wordt dus iets voor het najaar van 2018.

DEBEUCKELAERE: De zaken die klaar zijn, worden wel gecontroleerd en ook al gaan we niet langskomen, we kijken wel wat er verkeerd loopt. Als we vaststellen dat organisaties daar niet in meegaan, dan moeten we optreden.

Welke misvatting hoort u het vaakst?

DEBEUCKELAERE: Een van de grootste misvattingen is dat iedereen nu een DPO (Data Protection Officer) nodig heeft. Het is vooral niet echt duidelijk. Bij de overheid moet het altijd. Voor de private sector gaat het vooral om grote verwerkers van persoonsgegevens.

Ook als ze de verwerking uitbesteden?

DEBEUCKELAERE: Dan moet er een verwerkingsverantwoordelijke zijn. Maar we gaan er van uit dat het vooral nodig is wanneer het verwerken van persoonsgegevens tot de core business hoort. Dan moet er zeker een DPO zijn. Ook de aard en omvang speelt mee. Een klein advocatenkantoor moet geen DPO hebben, maar een beroepsvereniging zoals een balie misschien wel, net zoals een kantoor met zestig advocaten misschien een eigen DPO kan nodig hebben.

Waar trekt u dan de grens? 20 medewerkers? 100 klanten?

DEBEUCKELAERE: Dat zal sterk ad hoc worden ingevuld. Het advocatenkantoor waar iemand de gegevens kon stelen die hebben geleid tot de Panama Papers, daar zou je (gezien de omvang van de data die er zit, nvdr.) in principe een DPO voor nodig hebben. Een supermarktketen ook. Maar een handel in machine-onderdelen eerder niet.

Het andere voorbeeld is de slager om de hoek, die verwerkt met een klantenkaart ook persoonsgegevens en heeft ook een lijst met leveranciers. Maar de verwerking van die persoonsgegevens gebeurt niet op grote schaal.

Dan zijn er nog de bijzondere categorieën uit artikel 9: de verwerking van persoonsgegevens met strafrechtelijke feiten. Dan komen we weer terug naar onder meer advocatenkantoren. Maar daar moet men vooral samenwerken. In Frankrijk is er al een tiental jaar de CIL, Correspondant Informatique et Libertés, een soort DPO. Maar daar heeft gans het notariaat van Frankrijk twee DPO’s, dat lijkt me haalbaar.

De nieuwe wet voorziet ook ruimte voor de certificering. Wie zal die uitvoeren?

DEBEUCKELAERE: De wet voorziet dat dit zowel door de privacycommissies als door private spelers kan, maar de meeste Europese gegevensbeschermingsautoriteiten zullen dit niet zelf doen. Wel zullen ze de voorwaarden samenstellen om anderen te accrediteren zodat private certificeringsorganisaties dit kunnen uitvoeren.

Maar het is een misvatting dat een DPO gecertificeerd moet worden. De GDPR laat die kwestie zelf open. Het kan natuurlijk zijn dat er trainingen komen waaruit een certificaat volgt, maar het is niet dat wij die zullen of moeten uitreiken.

Zijn er nog opvattingen die eigenlijk fout zijn?

DEBEUCKELAERE: Er is veel hype rond het begrip ‘toestemming’. Het lijkt alsof, eens je toestemming hebt, dat alles mag. Dat is een stevige misvatting! Artikel 5 en 6 van de wetgeving gaan over het omgaan met persoonsgegevens en toestemming. Als je toestemming krijgt, moet dat altijd met die voorwaarden zijn: dataverwerking moet proportioneel en eerlijk zijn, er moet transparantie zijn en de gegevens moeten verdwijnen zodra ze niet meer nodig zijn. Het is niet zo dat je met toestemming van iemand plots alles mag.

Veel mailinglijsten vragen tegenwoordig om herbevestiging om in regel te zijn.

DEBEUCKELAERE: Dat is een tweede misvatting: als er een contractuele relatie is, dan mag je iemands persoonsgegevens verwerken. Wanneer ik een abonnement neem op Data News, dan hebben jullie uiteraard mijn adres- en betalingsgegevens nodig en is daar geen aparte toestemming voor nodig. Enerzijds maakt men van toestemming een soort passe-partout, anderzijds doet men alsof er voor alles nu een goedkeuring nodig is. Het is nochtans eenvoudig: toestemming kan je gebruiken om gegevens te mogen verwerken, maar die verwerking moet gebeuren volgens artikel 5 van de GDPR.

Maar een dataverzamelaar mag wel zelf oordelen in sommige gevallen?

DEBEUCKELAERE: Dat is het gerechtvaardigd belang. Naast toestemming, een contract, vitaal belang of wettelijke opdracht mag je ook persoonsgegevens verwerken zonder contract of opdracht, maar je moet zelf de afweging maken dat de inbreuk die je maakt niet in verhouding staat tot het eigen belang. Maar dat is een moeilijke oefening.

Valt daar een lijn in te trekken? Is het proportioneel dat een sportclub waar je tien keer gaat zwemmen je een folder opstuurt specifiek over het zwemmen?

DEBEUCKELAERE: Dat lijkt me proportioneel en relevant voor de persoon wiens gegevens zijn verwerkt.

Maar wat als een bank je een beter of slechter tarief geeft omdat ze gegevens hebben over je sportgedrag?

DEBEUCKELAERE: Dat is moeilijker. Zeker als een sportclub of sportwinkel die gegevens zou doorgeven aan een bank.

Is het besef er vandaag niet, dat je als bedrijf niet met persoonlijke data mag ‘smossen’?

DEBEUCKELAERE: Het besef bij financiële instellingen groeit vooral dat ze geld kunnen verdienen aan hun data. Een paar jaar terug was er een buitenlandse bank die expliciet aankondigde dat het big data en AI zou gebruiken om data uit hun klantenbestand te verkopen aan adverteerders. In de nasleep hiervan zijn veel Belgische banken hun gebruiksvoorwaarden gaan opentrekken ten nadele van hun klanten en ten voordele van hun eigen vrije omgang met data. Het besef dat niet alles mag met data is er, maar het besef dat het geld opbrengt ook.

Wat me daarbij verontrust is dat hun privacyverklaring gewoon blijft staan. Dat klinkt als een prachtig werkstuk, een stevig statement. Maar intussen veranderen banken de gebruiksvoorwaarden en is de coherentie tussen de twee wel erg zoek.

De kans is klein, maar stel dat een bedrijf vandaag voor het eerst hoort over GDPR. Wat moeten ze dan doen?

DEBEUCKELAERE: Onze brochure met dertienstappenplan ter hand nemen en beseffen dat er iets nieuws aankomt. Daarnaast moeten ze een inventaris opmaken met een register van de werking (van de bedrijfsprocessen, nvdr.). Dat zou elk bedrijf al moeten hebben. Er waren in het verleden wel een aantal zaken zoals personeelsbeheer, vrijgesteld. Maar in principe heb je wel zo’n register.

Kan u er inkomen dat sommige kmo’s geen zin of middelen hebben om alle stappen te ondernemen? De wet gaat breed en je kan jezelf net compliant genoeg of zeer overdreven compliant maken.

DEBEUCKELAERE: Het is een kwestie van verantwoordelijkheid die ze moeten opnemen. Neem nu een risico-analyse: houden de processen die je hanteert een risico in? Maar in de meeste gevallen zullen daar geen grote problemen opduiken. In België zijn er niet zoveel grote inbreuken op privacy. Als het voorkomt dan is het eerder bij de grote spelers en is het gelinkt aan het gebruik van bepaalde software.

Wat kan je als burger doen als je denkt dat een organisatie onvoorzichtig omspringt met je gegevens?

DEBEUCKELAERE: Vandaag kan je al nakijken in het publiek register of een bepaalde persoonsverwerking staat aangegeven bij ons. Maar dat wordt weinig gebruikt en die aanmeldplicht verdwijnt ook onder de GDPR.

Vanaf 25 mei moet je bij het bedrijf zelf, of hun DPO, aankloppen en vragen welke gegevens ze verzamelen en aan wie ze die eventueel doorspelen, waarom ze dat doen en hoe ze met die data omgaan. Eigenlijk moet al die informatie bijna onmiddellijk ter beschikking staan.

U geeft zelf aan dat de nieuwe GBA niet meteen klaar zal zijn, net zoals veel bedrijven dat nog niet zijn. Wanneer kan het op kruissnelheid komen?

DEBEUCKELAERE: Ik schat dat dat 1-2 jaar zal duren. Binnen België kan het zelfs vrij snel, we hopen een aantal campagnes te kunnen financieren om meer bewustmaking rond veiligheid te krijgen. Maar maatregelen en sancties komen er pas als we merken dat sommige organisaties achterop blijven hinken.

Hoe is uw relatie met grote dataverwerkers? We weten dat Facebook u niet toejuicht maar dat Telenet en Proximus wel komen melden dat ze gepersonaliseerde reclame hanteren. Zijn bedrijven bereid om te praten, of is het eerder uit juridische plicht?

DEBEUCKELAERE: De aandacht voor de privacyproblematiek is sinds 2007 sterk veranderd door de SWIFT-affaire (waarbij bleek dat de Amerikaanse schatkist financiële gegevens uit Europa kon inkijken, nvdr.). Toen kwam het besef bij bedrijven dat privacy een item was. We hebben daarna ook samengezeten met Beltug om het onderwerp bij technologiebedrijven op de kaart te zetten.

Ik denk dat er nu weinig bedrijven zijn in België die er mee rotzooien. Zeker zodra grote verwerkers een DPO hebben, of, naar aanleiding van de wet met hun advocaat of met ons komen spreken. Daar wil ik niet over klagen. De grootste problemen zitten niet in België. Op dat vlak heb ik een andere mening dan Matthias Dobbelaere-Welvaert (privacy-jurist). Hij vindt dat we onze tijd verliezen door Facebook op de wet te wijzen, maar dat we wel de slager om de hoek moeten controleren. Dat vind ik volslagen belachelijk.

Maken kleinere spelers geen fouten?

DEBEUCKELAERE: Jawel, maar ik ben geschrokken van de bereidheid van mensen om het op te lossen. Een paar jaar geleden is er een belangrijke data-inbreuk geweest bij Mensura. Zij hebben toen wat krampachtig gereageerd, maar wel direct de nodige technische stappen uitgevoerd om het in de toekomst te voorkomen. Natuurlijk zijn er in België nog klungelaars bezig en gebeuren er zaken die niet mogen. Maar ik denk niet dat het op grote schaal gebeurt.

Kan u daar mee leven? Dat er fouten gebeuren, en vergevingsgezind zijn als er maatregelen komen?

DEBEUCKELAERE: We gaan bedrijven nog altijd in gebreke stellen. Dat kon en zal onder de GDPR ook blijven en daar ben ik blij mee. Ik vind niet dat we louter een repressiemachine moeten zijn. Dat is pas als men echt weigert om mee te werken of ter kwader trouw werkt. Al moeten de grootste stupiditeiten er wel uit. Geen HTTPS gebruiken om gevoelige gegevens te versturen is onaanvaardbaar, zelfs al is het niet ter kwader trouw. Wie met de wagen rijdt, moet ook zorgen dat het voertuig in orde is.

Pieterjan Van Leemputten, fotografie Dieter Telemans

“Het is niet zo dat je met toestemming van iemand plots alles mag”

“We krijgen de helft meer bevoegdheden en taken met dezelfde portemonnee. Dat lukt niet”

“In België zijn er niet zoveel grote inbreuken op privacy. Als het voorkomt dan is het eerder bij de grote spelers en vaak gelinkt aan bepaalde software”

“Natuurlijk zijn er in België nog klungelaars bezig en gebeuren er zaken die niet mogen. Maar ik denk niet dat het op grote schaal gebeurt”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content