opinie

De bedrijfswereld stopt niet met draaien op 25 mei

Als je afgaat op het aantal onheils­berichten van consultants, beveiligings­deskundigen en advocaten, zou je denken dat een nieuwe millenniumbug toeslaat op 25 mei, de dag waarop de nieuwe Europese privacyregels GDPR van toepassing worden. De bedrijfs­wereld stopt die dag heus niet met draaien.

Door Marga Caproni & Stéphanie De Smedt, advocaten bij Loyens & Loeff

Is de massale ophef over de nieuwe privacywet GDPR (General Data Protection Regulation) dan niet terecht? Voor de meeste bedrijven allicht niet. De GDPR beschermt de verwerking van persoonsgegevens, en de meeste bedrijven doen daar niet zulke gekke dingen mee. Ze verwerken de gegevens van hun personeelsleden en wat informatie over (potentiële) klanten en leveranciers, maar meestal houdt het daar op.

Marga Caproni ©RV DOC

De inwerkingtreding van de nieuwe privacyregels is voor die bedrijven een nuttige oefening. Ook nu al hebben zij verplichtingen op dat vlak en de inspanningen om GDPR-conform te worden, brengen vaak het besef dat ze nu (nog) niet goed bezig zijn. Met enkele efficiënte ingrepen - door hun interne en externe stromen van persoonsgegevens in kaart te brengen, hun privacybeleid aan te passen en/of een grondige lenteschoonmaak in hun marketinglijsten te houden - kan al veel verholpen worden.

In peilingen geven veel bedrijven aan dat ze nog niet klaar zijn voor 25 mei. Is dat een drama? Voor de meeste bedrijven, in het bijzonder kmo’s, niet. Als ze teminste geen gevoelige of bijzonder risicovolle verwerkingen doen en als ze maar een duidelijk plan hebben om naar ‘compliance’ toe te werken en dat ook stap voor stap uitvoeren.

Angst verkoopt

Ja, de sancties die de GDPR invoert, spreken tot de verbeelding. Boetes tot 20 miljoen euro of 4 procent van de totale wereldwijde jaaromzet van een bedrijf. Angst verkoopt. Meer had de industrie niet nodig om de privacy hoog op de agenda te krijgen en budgetten vrij te maken. Dat was ook nodig. De Belgische privacywet van 1992 voorzag niet in dergelijke sancties en werd in de praktijk dan ook vaak niet nageleefd.

Stéphanie De Smedt ©RV DOC

Bovendien kunnen die sancties vanaf 25 mei rechtstreeks door de toezichthoudende autoriteit worden opgelegd. De Privacycommissie, omgedoopt tot de Gegevensbeschermingsautoriteit, krijgt de bevoegdheden van een echte inspectiedienst en kan bedrijven volledig doorlichten.

Burgers worden zich steeds bewuster van hun privacyrechten. Bedrijven die daar goed op reageren, scoren en kunnen van de GDPR net een opportuniteit maken.

De naam mag dan veranderd zijn, het lijkt niet dat de Gegevensbeschermingsautoriteit zich haar nieuwe bevoegdheden naar het hoofd laat stijgen. Ze heeft al aangegeven zelf niet volledig klaar te zijn voor 25 mei. Ze zal op 26 mei niet spontaan de baan op gaan voor massale controles. Als de Gegevensbeschermingsautoriteit inbreuken vaststelt (bijvoorbeeld na een klacht van een consument, een werknemer of zelfs een concurrent), zal ze in eerste instantie verwittigen en vooral zoeken naar een dialoog en een bereidheid om zaken op orde te stellen. Als een dergelijke aanpak niet werkt - denk aan de Facebook-zaak -, wil ze natuurlijk wel streng kunnen optreden.

Burgers worden zich steeds bewuster van hun privacyrechten. Zij zullen bedrijven erop aanspreken wanneer die rechten miskend worden. Bedrijven die daar goed op reageren, scoren en kunnen van de GDPR net een opportuniteit maken.

Hoog tijd dus om de nieuwe privacyregels en een startende angstpsychose opnieuw en anders te bezien.

Lees verder

Gesponsorde inhoud