De nieuwe privacywetgeving zal pas vanaf mei 2018 echt afgedwongen kunnen worden. Voor die tijd wil staatssecretaris Philippe De Backer echter eerst meer duidelijkheid scheppen in de wettekst.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



 
De Backer stelt dan ook dat strenge controles en vooral de bijhorende boetes niet voor meteen zullen zijn. Ook moet de Belgische privacycommissie eerst hervormd worden.

Monsterboete

De belangrijkste wijziging die de General Data Protection Regulation (GDPR) meebrengt ten opzichte van de oude privacywetgeving, is dat je moet kunnen bewijzen dat je er ‘compliant’ mee bent. Dit kan door het uitvoeren van een impact-analyse, het aanstellen van een zogenaamde data protection officer, en door het beschrijven van alle datastromen en -processen.
 
Lukt dat niet, dan dreigt een monsterboete die kan oplopen tot wel vier procent van de wereldwijde omzet. De wet is van toepassing op iedereen die persoonlijke gegevens van Europeanen verwerkt.

Fragmentatie

De GDPR roept echter meer vragen op dan ze beantwoordt. Op het FeWeb CEO Event lichtte staatssecretaris voor (onder andere) privacy Philippe De Backer zijn visie toe op deze problematiek.
 
Ondanks het repressieve luik van de nieuwe wetgeving, wil De Backer eerst op Europees niveau op een aantal punten meer duidelijkheid krijgen. Het gaat daarbij om de werking van de certificatiebureaus, de al dan niet verplichting van een data protection officer, en de concrete invulling van het ‘privacy by design’ gegeven waar de GDPR zo op hamert.
 
[quote body=”“Het doel is zo min mogelijk fragmentatie laten optreden tussen landen wat betreft de interpretatie van de nieuwe wetgeving””]
 
De Backer: “Een regulation moet in principe in elk land op dezelfde manier toegepast worden, maar de GDPR is een hybride vehikel geworden. Het doel is nu zo min mogelijk fragmentatie laten optreden tussen landen wat betreft de interpretatie van de nieuwe wetgeving.”

Advies privacycommissie

Tegelijkertijd erkent De Backer dat een consensus op Europees niveau niet voor vandaag of morgen is. Hij houdt zelfs al een slag om de arm: “De Belgische privacycommissie moet dan in staat zijn om eigen interpretaties en adviezen af te leveren aan onze bedrijven en instellingen”. Met als gevolg toch weer fragmentatie? Ja, maar volgens De Backer kunnen we net door vooruit te lopen met dergelijke adviezen, andere landen overtuigen om te volgen, en zo iedereen toch op dezelfde lijn krijgen.
 
Ook is de adviesverlening volgens De Backer vooral noodzakelijk in de digitale sector: “Er komen veel vragen van start-ups en kleinere bedrijven, aangezien zij minder sterk staan in het omgaan met de reputatieschade bij een eventueel privacyprobleem.”

Hervorming

Naast het verstrekken van de nodige richtlijnen en advies rond de GDPR, vindt De Backer dat ook de Belgische privacycommissie zelf hervormd moet worden. “We weten dat deze momenteel weinig slagkracht heeft, en zelfs te weinig technische expertise heeft om specifieke audits te kunnen doen binnen het kader van de GDPR,” legt De Backer de vinger op de wonde.
 
Voor De Backer is de belangrijkste vraag ook wanneer en hoe administratieve boetes zullen opgelegd worden. In tegenstelling tot Frankrijk, lijkt het de staatssecretaris niet aangewezen om in ons land vanaf dag één (nvdr: 1 mei 2018) boetes op te leggen voor inbreuken op de GDPR. Hij stelt een escalatiesysteem voor “waarbij eerst wordt geïnformeerd, eventueel aangepast, en pas daarna gecontroleerd, gewaarschuwd en in laatste instantie pas beboet.”