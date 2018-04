Op 25 mei, over minder dan een maand, wordt de nieuwe privacywet GDPR van kracht. Maar zelfs de overheidsdiensten zullen tegen dan niet klaar zijn met alle nieuwe privacyverplichtingen.

‘De meeste overheidsdiensten hebben wel al een data protection officer of ze zitten daarvoor in de laatste fase’, zegt Willem Debeuckelaere, de voorzitter van de Privacycommissie. ‘Maar dat heeft hen al veel geld en energie gekost. Voor de andere maatregelen, zoals het opstellen van een register met alle verwerkingen van persoonsgegevens, zullen veel overheidsinstellingen niet tijdig klaar zijn, is onze indruk.’

We hebben van meet af aan gezegd dat het gekkenwerk was zo’n grote verandering in twee jaar tijd door te duwen. Men heeft niet willen luisteren. Willem Debeuckelaere Voorzitter privacycommissie

‘Zéér veel zal niet in orde zijn tegen 25 mei’, erkent Debeuckelaere. De Belgische kaderwet is er nog niet, noch de sectorale gedragscodes, de richtlijnen over certifiëring, het hoofdstuk over de pers in de wet, of de omzetting van de regels voor het strafrecht en de onlinediensten.

Zelfs de oprichting van een nieuwe privacywaakhond zal de deadline niet halen. ‘De klassieke Privacycommissie zal nog niet vervangen kunnen worden door de nieuwe ‘gegevensbeschermingsautoriteit’. De leden geraken waarschijnlijk niet tijdig benoemd. De oude Privacycommissie zal dan nog even ‘de meubels moeten bewaren’. Al hoeft dat geen ramp te zijn.’

Gekkenwerk

‘We hebben van meet af aan gezegd dat het gekkenwerk was om in twee jaar tijd zo’n grote verandering door te duwen. Men heeft niet willen luisteren. Men wilde een big bang, een momentum op 25 mei. Eén ding is wel gelukt: nooit eerder was de bewustwording voor de privacyregels zo groot.’

Bedrijven moeten vanaf 25 mei onder meer expliciet toestemming krijgen van de burger om zijn persoonsgegevens te mogen verwerken. De klant moet zijn gegevens kunnen inkijken, wijzigen of verwijderen. En als er door een hack of lek data op straat liggen, moeten bedrijven dat binnen 72 uur aan de autoriteiten melden. Leven bedrijven de nieuwe privacyregels niet na, dan riskeren ze boetes die kunnen oplopen tot 20 miljoen euro. Voor multinationals kunnen die tot 4 procent van hun wereldwijde omzet bedragen.

Paniekvoetbal

Maar wat als niemand de deadline van 25 mei haalt? ‘Paniekvoetbal is niet nodig’, stelt Debeuckelaere. ‘De mogelijkheden om sancties op te leggen zijn voldoende soepel. We moeten daarvoor geen officiële overgangsfase invoeren. Als bedrijven met sommige maatregelen nog niet klaar zijn, zullen we daar rekening mee houden.’

100 Advocaten in orde met oude privacyregels Amper honderd advocatenkantoren zijn na al die jaren in orde met de oude privacyregels uit de jaren '90.

‘Nu ja, ik zeg niet dat we soepel gaan zijn’, benadrukt Debeuckelaere. ‘Als bedrijven hun best niet doen en alles op hun beloop laten, zullen we streng zijn. Iedereen mag nu wel een tandje bijsteken. De nieuwe wet staat al twee jaar in de vitrine. Maar velen respecteren zelfs nog altijd de oude privacyregels uit de jaren 90 niet. Ik tel amper 100 advocatenkantoren die na al die jaren de nodige aangiftes deden. En nu schiet iedereen plots wakker?’

Maar als zelfs de overheid op 25 mei niet klaar is, hoe kan de Privacycommissie dan dat de bedrijven verwijten? ‘Het is niet omdat een overheidsambtenaar door een rood licht of te snel rijdt, dat plots de hele verkeerswet niet meer van toepassing is. Dat mag geen excuus zijn.’