Hervormde Privacycommissie krijgt slagkracht
Extra budget is voorlopig niet aan de orde, maar door de hervorming van de Privacycommissie komen er wel middelen vrij om de inspectiedienst uit te bouwen en extra digitale expertise in huis te halen. Al mag de commissie van staatssecretaris Philippe De Backer wel een tandje bijsteken om de onduidelijkheid rond GDPR weg te nemen.
Vandaag wordt in de plenaire vergadering van de Kamer de hervorming van de Privacycommissie – voluit eigenlijk de Commissie voor de bescherming van de persoonlijke levenssfeer – goedgekeurd. Niemand die grote problemen verwacht, aangezien het parlement eind oktober al unaniem groen licht gaf. Zeg vanaf 25 mei 2018 dan niet langer Privacycommissie, maar wel Gegevensbeschermingsautoriteit: een Europese vereiste in het kader van de databeschermingswet GDPR (General Data Protection Regulation) die vanaf die datum van kracht wordt. De vernieuwde commissie wordt dan in één klap naast een adviesorgaan ook een controlerende instantie die indien nodig ook sancties kan opleggen, zegt bevoegd Staatssecretaris voor Privacy Philippe De Backer (Open VLD).
Is er voldoende slagkracht om die controle en sanctie ook af te dwingen?
Philippe De Backer: “Absoluut, de nieuwe Gegevensbeschermingsautoriteit (GBA) krijgt ook sanctie- en repressiebevoegdheden en zal bijvoorbeeld audits bij bedrijven kunnen uitvoeren. De sanctiebevoegdheid zal waarschijnlijk in handen komen van mensen die uit de magistratuur komen. Dat hoeft geen verrassing te zijn, want ook nu zitten er in de commissie al wat mensen die uit de magistratuur komen. Maar de nadruk zal vooral liggen op preventie en sensibilisering.”
De nadruk zal vooral liggen op preventie en sensibilisering, en pas nadien controle en repressie.
Philippe De Backer
Komen er extra middelen om de hervorming te doen slagen?
De Backer: “De opdracht was om de hervorming initieel budgetneutraal uit te voeren. Het budget van de commissie hangt trouwens af van het parlement: het is aan het parlement om te beslissen of er bijkomende middelen kunnen komen.”
“Dit gezegd zijnde is het wel zo dat we in het directiecomité van 16 commissarissen naar 5 vastbenoemde mensen gaan. De structuur wordt vereenvoudigd en daar maken we middelen vrij die bijvoorbeeld naar de uitbouw van de inspectiedienst kunnen gaan. Ik denk dat er ook wel nood is om extra technische capaciteit in de privacycommissie binnen te brengen. We hebben trouwens ook voorzien dat er een technische adviescommissie komt zodat mensen uit de privé-sector en academische hoek GBA kunnen bijstaan om de technologische evoluties op te volgen. Dat zal ook helpen om enerzijds duidelijkheid te verschaffen waarop GBA moet focussen, maar ook om bedrijven en organisaties duidelijk te maken waar de potentiële risico’s zitten.”
In hoeverre zijn onze kmo’s en multinationals al voorbereid op GDPR?
De Backer: “Er is in ieder geval nog heel wat sensibilisering nodig. Zelf ben ik vorige week nog samen met Unizo een toer naar kmo’s gestart om hen duidelijk te maken dat GDPR ook op hen van toepassing is en wat ze allemaal moeten doen. Ik kom zelf ook veel op het terrein en ik zie wel dat de meeste multinationals al ver staan. Zij zijn nu hun leveranciers en klanten mee aan het trekken in dat verhaal en dat is belangrijk, want al wie aan die bedrijven levert moet ook zelf GDPR-compliant zijn.”
Er komen middelen vrij door te snoeien in de organisatie. Die middelen kunnen gebruikt worden om bijvoorbeeld de inspectiedienst uit te bouwen en extra technische expertise in huis te halen.
Philippe De Backer
Rond GDPR heerst bij heel wat bedrijven toch nog onduidelijkheid?
De Backer: “Ik vind dat de Commissie nog een tandje moet bijsteken om onduidelijkheid weg te nemen. Het is aan de Privacycommissie om invulling te geven aan GDPR en dat gebeurt maar stap voor stap en met mondjesmaat. Er moet sneller en duidelijker gehandeld worden om bedrijven en organisaties heel snel duidelijk te maken waaraan ze zich gaan moeten houden, wat de standaarden gaan zijn en wat de manier is om zich in orde te stellen. Een aantal sectorfederaties zoals Agoria, VBO en Unizo doen wel heel veel inspanningen om hun leden te informeren, maar er moeten toch echt hoogdringend een aantal verduidelijkingen komen vanuit de Privacycommissie zelf.”
Ook N-VA volksvertegenwoordiger Peter Dedecker die nauw betrokken was in het debat over de hervorming, is die mening toegedaan.
Peter Dedecker: “Er is nog heel wat onduidelijkheid rond de praktische invulling en de verschillen per sector. In de gezondheidszorg spelen andere kwesties dan bij een lokale kmo of in de farmasector. Sectorspecifieke afspraken zijn zeker nodig, maar het is aan de hervormde Commissie om daarin het initiatief te nemen.”
De Backer: “Nog altijd komen vragen terug als ‘moet ik een data protection officer aanstellen?’ of ‘hoe gaat de certificering er uitzien?’. Het is belangrijk dat de commissie nu kort op de bal speelt en heel snel de nodige input geeft zodat die onduidelijkheid verdwijnt. Als de onduidelijkheid wegvalt, valt ook het excuus weg om GDPR niet of onvoldoende na te leven.”
Het is écht niet de bedoeling om de staatskas te gaan spekken.
Philippe De Backer
Wordt van bij de invoering van GDPR meteen het sanctiewapen bovengehaald?
Dedecker: “Laat ons duidelijk zijn: sanctionering kan, maar dat wapen wordt als allerlaatste middel getrokken. Informatie verschaffen, begeleiden en advies geven is belangrijker. De ‘oude’ Privacycommissie is daar niet in geslaagd, dat moet nu veranderen. Maar het is niet de bedoeling om meteen te gaan beboeten van zodra een overtreding vastgesteld wordt. Er zijn voldoende overlegmogelijkheden en procedures vastgelegd voor het zover hoeft te komen.
De Backer: “Als een bedrijf op korte termijn na het vaststellen van een inbreuk de nodige correcties aanbrengt, is het meteen case closed. Het is écht niet de bedoeling om de staatskas te gaan spekken. Maar omgekeerd is het ook zo dat de inspectiedienst wel meteen tot sanctie kan overgaan als er manifeste inbreuken vastgesteld worden.”
Is er voldoende mankracht voor de hervormde Commissie?
De Backer: “Er zijn nu zestig mensen actief in de Privacycommissie. Ik heb veel overlegd met hen, en dat zijn echt goeie mensen. Absoluut top in hun vak en ze worden Europees ook erkend daarvoor. Natuurlijk moeten die mensen nu wel ingepast worden in de nieuwe structuur. Daarom is er vanuit het management wel nood aan een transitieplan om die omslag te maken en duidelijkheid te scheppen wie welke rol op zich zal nemen. Willem Debeuckelaere blijft voorzitter, maar we gaan wel van 16 commissarissen naar 5 vastbenoemde directeurs. Die moeten nog aangesteld worden, die procedure moet door het parlement opgestart worden.”
Dedecker: “Dat kan relatief snel gaan, ik verwacht dat die vacatures voor het einde van het jaar uitgeschreven kunnen worden. Vergeet ook niet dat het nu voor het eerst om voltijdse, onafhankelijke werkkrachten gaat. Dat is anders dan het vorige systeem met commissarissen die ook andere jobs uitvoeren. Nu wordt het risico op eventuele belangenvermenging ook vermeden. Overigens zijn er ook kpi’s vastgelegd voor de commissie zelf en zullen ze daar jaarlijks op geëvalueerd worden.”
De Backer: “Het is aan de Privacycommissie om de taken en rollen vast te leggen. Ook samenwerking met andere landen is dan aan de orde trouwens. Audits ter plaatse doen is toch heel wat werk en ik denk dat daar dus ook duidelijke prioriteiten moeten gesteld worden. Wat wil men effectief gaan controleren? Ik denk dat er een inspectiedienst moet komen die zich echt focust op de grote zaken, op de grote inbreuken en die echt probeert om fundamentele schendingen van de privacy in kaart te brengen en die aan te pakken.”
Legt België rond databescherming andere accenten dan de buurlanden?
De Backer: “GDPR is een Europese wetgeving en de wet geldt in elk Europees land. Ieder bedrijf dat diensten of producten aanbiedt of gegevens verzamelt over mensen binnen Europa moet zich daar aan houden. Dus ook Amerikaanse, Russische en Chinese bedrijven vallen daar onder als zij zaken doen in Europa. Er zijn ook procedures voorzien hoe we achter die bedrijven kunnen aangaan. Er is echt een level playing field gecreëerd binnen de Europese unie voor de interne markt”.
De wetgeving is Europees en geldt in elk Europees land. Maar de controle gebeurt wel op nationaal niveau. Dat creëert fragmentatie en dat wordt een Europees werkpunt voor de komende jaren.
Philippe De Backer
“Maar de Europese instellingen hebben wel beslist dat de controle op die wetgeving op nationaal niveau gebeurt. En daar zit wel een kleine lacune, want dat creëert opnieuw een stuk fragmentatie. Fransen en Nederlanders willen misschien andere accenten leggen, maar we proberen wel te coördineren en samen te werken. Maar je voelt wel dat er inderdaad een stuk fragmentering is. Dat is natuurlijk niet gezond. Als je één grote interne markt wil hebben, moeten de spelregels gelijk zijn. En ook de toepassing en dus de controle op die spelregels.”
“Dat is een mogelijk probleem, en dat zal dan een volgende stap moeten zijn in de komende jaren. In de financiële wereld was er een crisis nodig om het het besef te doen groeien dat het toezicht op de banken best Europees geregeld werd. Ik hoop dat we nu slimmer zijn en dat er niet eerst nog een volgende grote crisis in gegevensbescherming nodig is vooraleer men beseft dat er inspanningen vanuit Europa nodig zijn om dat level playing field te behouden.”
Fout opgemerkt of meer nieuws? Meld het hier