GDPR : Horen – Zien – Zwijgen ?

28 januari was het Data Privacy Day, en dat lijkt me het ideale moment om even stil te staan bij de recent ingevoerde GDPR-wetgeving. Waar staan we vandaag? Hoe GDPR-compliant zijn de Belgische bedrijven? Ik hanteer zelf nogal een pragmatische aanpak als het over regelgeving gaat, en moet dus bekennen dat ik sommige ontwikkelingen de voorbije maanden met toenemende bezorgdheid gevolgd heb.

Ten eerste is er de Belgische Gegevensbeschermingsautoriteit zelf. In heel Europa, en bij uitbreiding de hele wereld, stond 25 mei 2018 met stip in de agenda’s genoteerd. Zes maanden later hebben de autoriteiten in België en de omringende landen hun eerste bevindingen gedeeld. Daaruit blijkt dat Nederland, Frankrijk en Duitsland sinds het begin van de zomer met systematische controles bij bedrijven van start gegaan zijn en inmiddels honderden bedrijven doorgelicht hebben. Daarbij wordt duidelijk gecommuniceerd over eventuele sancties én guidelinester verbetering. België hinkt achterop door het uitblijven van een directie om de Gegevensbeschermingsautoriteit te leiden. Nu pas zijn de eerste controles aangekondigd. Heel wat bedrijven maken zich dan ook zorgen over de slome opvolging van de GDPR in ons land. Afgelopen november sloeg Beltug, de Belgische vereniging van ICT-managers, al alarm. “Bedrijven willen in lijn zijn met de wetgeving, maar botsen op veel vraagtekens. (…) Er is nood aan begeleiding”, klonk het. Naast het correct willen naleven van de Europese regels, stuiten bedrijven nog op een ander probleem: dat van de oneerlijke concurrentie voor bedrijven die wél GDPR-compliant zijn, tegenover zij die de regels aan hun laars lappen omdat er toch geen sancties volgen. Intussen blijven de media rapporteren over de ‘gehandicapte privacywaakhond’ en luiden ook andere sectororganisaties de alarmbel.

Ten tweede lijkt er een gebrek aan awareness te heersen over GDPR bij de Belgische consument: de Autoriteit kreeg de eerste 6 maanden zo’n 148 klachten binnen. In Nederland ligt dat cijfer op 750… per maand. Die awareness en sense of urgencylijkt ook bij de Belgische bedrijven te ontbreken. Uit een enquête die we in oktober bij professionals uit verschillende sectoren hebben afgenomen, blijkt dat 12% van de kleine bedrijven en 21% van de middelgrote bedrijven in België nog geen enkele stap heeft ondernomen om te voldoen aan de GDPR-richtlijnen. Enkel bij de ondernemingen met meer dan 250 medewerkers zegt 100% al gesleuteld te hebben aan hun privacy-beleid, allicht vaak ook aangestuurd vanuit een internationaal hoofdkantoor.

Bij de kleine en middelgrote bedrijven ontbreken ook duidelijke procedures: 71% van de bedrijven met 50 tot 250 medewerkers heeft geen procedure als er vragen komen voor inzage, aanpassing of verwijdering. Bij de kleine bedrijven is vooral de voorbereiding op datalekken problematisch: 65% heeft daarvoor geen procedure. Dat is riskant, want een datalek moet binnen de 72u gemeld zijn aan de Autoriteit. Zonder procedures is dat geen sinecure. Met alle risico’s van dien: datalekken worden openbaar gemaakt door de Gegevensbeschermingsautoriteit. Zonder degelijk plan van aanpak ter preventie en opvolging, kunnen de gevolgen voor de reputatie van je bedrijf desastreus zijn.

Non-compliancy kan, naast de mogelijke wettelijke gevolgen, overigens nog een andere impact hebben op je business. Steeds meer bedrijven, nu nog vooral grotere spelers, weigeren samenwerking met partners die niet kunnen aantonen dat ze GDPR-compliant zijn. De verwachting is dat dat een ingeburgerde praktijk zal worden de komende jaren. En zo hoort het ook, als je het mij vraagt. De essentie van GDPR gaat immers om het respect voor de privacy van de klant. En wederzijds respect, dat zou de basis moeten zijn van elke samenwerking, groot of klein.

Laten we dus dit jaar massaal werk maken van die compliancy, zodat we voorbereid zijn op de volgende golf van regelgeving die binnenkort op ons afkomt: die van de e-Privacy.

Bron : Paul De Ridder – Wolters Kluwer