Senior writer

Bedrijven moeten de nieuwe regels inzake databescherming echt wel ernstig nemen. Maar het is geen drama als niet iedereen de deadline van 25 mei haalt.

Binnen een maand, op 25 mei, treedt de Algemene Verordening Gegevensbescherming - ook bekend onder zijn Engelse afkorting GDPR- in werking. Dat pakket Europese regels schrijft voor hoe overheidsinstanties en bedrijven moeten omspringen met de gegevens die ze hebben van klanten, werknemers, leveranciers en zo meer.

De verordening heeft tot doel het verzamelen, verwerken en gebruiken van data strikter te reglementeren en dicteert ook hoe gereageerd dient te worden op datalekken.

Ze geeft de mensen opnieuw meer macht over hun persoonsgegevens, verstevigt de bescherming van hun privacy en maakt een vuist tegen bedrijven die hun business bouwen op het exploiteren van data. Want bedrijven of organisaties die tegen de voorschriften zondigen, riskeren torenhoge financiële sancties.

Als het de overheid zelf niet lukt klaar te zijn voor GDPR, kan ze het dan eisen van bedrijven en privéorganisaties?

Gegevens zijn in de digitale samenleving een waardevolle grondstof geworden. Dat ze beter worden beschermd, is een goede zaak. Het initiatief wordt ook buiten Europa met veel interesse gevolgd. Want daar vraagt men zich eveneens af hoe het gebruik van data het best wordt geregeld zonder de mogelijkheden die dat biedt te zeer te beknotten.

Nu de deadline nadert, blijkt echter dat heel wat bedrijven en organisaties in Europa en ook in ons land niet klaar zijn om aan de nieuwe regels te voldoen. Nochtans is de verordening al twee jaar geleden uitgevaardigd, zijn consultants de boer op getrokken om hun diensten aan te bieden, werden tal van studiedagen georganiseerd en hebben sectorfederaties hun leden ingelicht.

Maar het besef dat daar werk van moest worden gemaakt, is in vele gevallen pas laat doorgedrongen. Om vervolgens vast te stellen dat het werk toch wel omvangrijk is. Zeker voor kleine bedrijven is het klaren van die klus niet evident.

Want de regels zijn complex. Het is niet altijd duidelijk hoe ze geïnterpreteerd en toegepast moeten worden. Bovendien heeft de wetgever de noodzakelijke puzzelstukken zelf niet op de tijd geleverd.

In België is staatssecretaris Philippe De Backer (Open VLD) nog altijd aan het schaven aan het ontwerp van de kaderwet die de Europese verordening - die in principe rechtstreeks in de lidstaten van toepassing is - op sommige vlakken moet verduidelijken. En er moeten nog dingen gebeuren.

Nu is al duidelijk dat ook heel wat overheidsinstanties in ons land op 25 mei niet klaar zullen zijn voor de Algemene Verordening Gegevensbescherming. De kans is groot dat zelfs de omvorming van de Privacycommissie tot de Gegevensbeschermingsautoriteit, die moet toezien op de naleving van de nieuwe regels, tegen die datum niet rond is. Als het de overheid zelf niet lukt, kan ze het dan eisen van ondernemingen en privéorganisaties?

De verordening is belangrijk om orde te scheppen in de chaos van de datawereld. De inwerkingtreding uitstellen is niet aangewezen. Dat zou bedrijven en instanties het idee kunnen geven dat het allemaal niet zo ernstig is en niet zo nauw steekt. Het is niet de bedoeling dat de nieuwe spelregels dode letter blijven. De druk moet groot blijven, zodat iedereen zich haast om zijn verplichtingen na te komen.

Maar het is niet nodig om vanaf 25 mei streng te controleren en te sanctioneren. Waarschuwingen volstaan, aansporingen zijn beter. Die precieze deadline is uiteindelijk niet zo belangrijk, wel dat bedrijven en overheidsinstanties veel zorgvuldiger met persoonsgegevens omspringen. Ook al gebeurt dat in tweede zit.

Lees verder

Gesponsorde inhoud