1 Jaar GDPR: hoe gaan de bestuurders daar mee om?

Privacy was één van de grote Europese thema’s in 2018. Op 25 mei 2018 werd immers de Algemene Verordening Gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), van kracht. Die was toen al meer dan twee jaar eerder aangekondigd. Maar toch schoten de meeste bedrijven pas tegen die deadline echt in actie. Door in te zoomen op de zware boetes bij het overtreden van de strengere privacyregels creëerden sommige consultants in het voorjaar zelfs een soort angstpsychose rond dat vierletterwoord. De ‘meldingsplicht binnen de 72 uur na een lek van persoonsgegevens’ verscheen op elke powerpointslide… Maar waar staan we vandaag, iets meer dan één jaar later?

Respect voor privacy
Het idee achter de regels was alleszins niet mis. De burger moest weer controle en zeggenschap krijgen over zijn data. Want onze persoonlijke gegevens vormen toch wel de brandstof van de datavretende verdienmodellen van allerlei platforms en technologiebedrijven zoals Facebook en Google. Sinds mei vorig jaar kunnen we aan elk bedrijf vragen waarom het onze persoonsgegevens bijhoudt, hoe die verwerkt worden en wanneer ze gewist zullen worden (als we daar zelf al niet om verzoeken). Deze verordening heeft alleszins al voor een kleine mentaliteitswijziging gezorgd: er kwam alom meer aandacht en respect voor onze privacy.

EDPB
Her en der in de media werd de verjaardag van de inwerkingtreding van deze Europese privacywetgeving aangegrepen voor een update. De overkoepelende European Data Protection Board  EDPB) bracht zelfs een verklarend filmpje uit. Dit Europees Comité voor gegevensbescherming zorgt als onafhankelijk Europees orgaan voor een consequente en gelijke toepassing van de GDPR in de gehele Europese Unie. Het bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten en van de Europese Toezichthouder voor gegevensbescherming (EDPS). Het EDPB beschikt zelfs over een Nederlandstalige website met richtsnoeren en aanbevelingen.

Hoe implementeren?
Vandaag beseffen alle bestuurders ongetwijfeld dat ze het belang van privacy niet mogen veronachtzamen. Maar verschillende bedrijven worstelen nog met de praktische implementatie. Hier en daar breekt men zich nog het hoofd hoe een dataregister alle datastromen in kaart kan brengen. Welke gegevens moeten nu echt bijgehouden worden? Welke bewaartermijnen zijn er van toepassing?  Sommigen begrijpen nog niet goed wat hun data protection officer nu precies moet doen bij een datalek om het risico op een boete maximaal te beperken. De compliance – en niet alleen voor de HR-processen – kostte alleszins meer tijd, mensen en middelen dan algemeen verwacht. Vooral het opstellen van verwerkersovereenkomsten, het aanstellen en opleiden van de data protection officer en het verwerken van richtlijnen en procedures waren niet bepaald goedkoop. Hier en daar is er zelfs een tekort aan gespecialiseerde kennis.

Trage start van de GBA
Volgens een eerste overzicht van eind januari zijn er hier vorig jaar na de invoering van de AVG amper 442 datalekken gemeld. Ondertussen waren er in buurland Nederland al 21.000 datalekken gemeld, zevenveertig keer meer dan in België. Dit ene cijfer symboliseert misschien nog het best het feit dat de Belgische overheidsinstantie niet tijdig klaar was om op te treden met richtlijnen, controles en (indien nodig) boetes. Pas op 29 maart 2019 (!) – elf maanden na de oprichting – heeft de Kamer van Volksvertegenwoordigers de nieuwe directie van de Belgische Gegevensbeschermingsautoriteit kunnen benoemen.

Voorzitter David Stevens liet ondertussen verstaan dat zijn privacywaakhond een tandje zal bijsteken om de naleving van de Europese privacyregels beter te verzekeren. De tijd van sit back and relax voor de Belgische bedrijven en hun bestuurders lijkt dus voorbij. Zijn GBA heeft alvast ruimere bevoegdheden dan de voorganger – de Privacycommissie. Het GBA kan nu zo’n zestig personeelsleden inzetten in zijn vijf entiteiten: het algemeen secretariaat, de eerstelijnsdienst voor het opvolgen van klachten, de inspectiedienst voor het controleren van bedrijven, de geschillenkamer en het kenniscentrum dat adviezen verstrekt.  Deze eigen  Gids voor KMO’s  beantwoordt alvast veel praktische GDPR-vragen.

Boetes
De gegevensbeschermingsautoriteiten in onze buurlanden zijn van meet af aan wel kordaat opgetreden. In Frankrijk werden het afgelopen jaar meer dan 20 boetes uitgedeeld. In Groot-Brittannië zelfs meer dan 30. De hoogste bedroeg ruim 2,5 miljoen euro en de EDPB rapporteerde dat de verschillende nationale agentschappen voor gegevensbescherming samen al voor meer dan 56 miljoen euro boetes opgelegd hebben. De grootste dossiers waren Google, Facebook, Yahoo en diverse overheidsinstanties. De Belgische GBA heeft pas eind mei 2019 zijn eerste boete uitgesproken. Een burgemeester had persoonsbestanden van de gemeente gebruikt voor een e-mail met verkiezingsdoeleinden: 2000 euro boete. Als signaal kan het tellen: privacy is belangrijk en alle databewerkers, en zeker die van de overheid, moeten hun verantwoordelijkheid opnemen.

Procesmatige aanpak!
Vandaag moeten bestuurders kunnen beschikken over alle technologieën en inzichten die nodig zijn om een goed bestuur te realiseren. Een onderneming moet daarom al zijn processen aanpassen: zoveel is intussen duidelijk. Organisaties moeten daarvoor ook een ethisch verantwoorde, gezonde en verstandige “data governance” gaan ontwikkelen. Bestuurders mogen GDPR dan zeker niet als een “check the box” verhaal benaderen. Het is veel meer dan het aanpassen van de cookie-voorwaarden op de website en de strengere controle op de toegang voor databestanden.

GDPR, 1 jaar later? Vraag toch maar eens hoe het management zich intern heeft georganiseerd…