Privacywaakhond controleert strenger op naleving GDPR-regels

Voorzitter David Stevens van de privacycommissie. 'De Belgische bedrijven vertoonden uitstelgedrag bij de invoering van de Europese databseschermingsregels.' ©Dieter Telemans

De privacywaakhond GBA gaat een tandje bijsteken om de naleving door bedrijven van de Europese privacyregels (GDPR) te verzekeren, waarschuwt de nieuwe voorzitter David Stevens. Boetes kunnen daar bij horen. ‘Tijd van sit back and relax over GDPR is voorbij.'

Bijna elf maanden na haar oprichting heeft de Gegevensbeschermingsautoriteit eindelijk een directiecomité. De GBA verving in mei vorig jaar de voormalige privacycommissie en kreeg meteen ruimere bevoegdheden, in de eerste plaats om de naleving van de Europese regels inzake databescherming (GDPR) af te dwingen.

BIO David Stevens

Komende drie jaar > voorzitter Gegevens-beschermingsautoriteit (GBA).

2013-2017 > data protection officer bij Telenet.

2017-2019 > data protection officer bij de marktonderzoeker Nielsen.

Maar de GBA bleef al die maanden een tijger zonder tanden. Een taalkwestie verhinderde het aantreden van het directiecomité van vijf leden. Een van de directeurs moest het Duits machtig zijn, maar de selectie van zo’n kandidaat liet op zich wachten. Zonder directiecomité was de hoeder van onze privacy de facto ‘gehandicapt’, erkende waarnemend hoofd Willem Debeuckelaere in januari.

Vandaag leggen voorzitter David Stevens en vier andere directeurs eindelijk de eed af. De GBA is afhankelijk van het parlement. In een gesprek zet Stevens, die drie jaar voorzitter zal zijn en tot nu privacyhoofd bij de marktonderzoeker Nielsen was, meteen de puntjes op de i. Het is tijd dat de GBA meer gaat doen dan louter de ‘machine draaiende houden’, zegt hij.

Meldingsplicht

Stevens propageert een actievere houding in de Europese databeschermingsregels (GDPR). Die gingen op 25 mei vorig jaar van kracht als ’s werelds meest verregaande regels over privacy. Ze leggen bedrijven enkele baanbrekende vereisten op inzake het beheer van data, zoals de meldingsplicht binnen 72 uur van een lek van persoonsgegevens.

De regels brachten in de aanloop naar 25 mei een angstpsychose op gang bij bedrijven, waar consultants gretig van profiteerden. Maar 25 mei kwam en ging voorbij, en het aantal meldingen over datalekken in ons land bleef laag in vergelijking met de buurlanden. Eind januari meldde de GBA dat tussen 25 mei en eind januari 442 datalekken waren aangegeven. In Nederland ging het over heel 2018 om 21.000 meldingen.

‘We gaan zeker en vast een tandje bijsteken in het afdwingen van die regels’, stelt Stevens. ‘We willen een moderne toezichthouder zijn. We gaan naar buiten komen om sectoren en bedrijven duidelijk te maken wat we van hen verwachten. Maar bedrijven moeten niet denken dat we hen adviseren over de kleinste details, zoals welke software ze moeten gebruiken. Ze moeten ook verantwoordelijkheid nemen. Zoals in een huwelijk zullen we elkaar ergens halverwege ontmoeten.’

Boetes

De Belgische bedrijven vertoonden zeker uitstelgedrag bij de invoering van de Europese databeschermingsregels.
David Stevens
Voorzitter GBA

De GBA kan volgens het GDPR-kader ook boetes opleggen, tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Stevens is bereid om boetes uit te delen, mocht dat nodig zijn. ‘De tijd van sit back and relax is voorbij’, waarschuwt hij. ‘De Belgische bedrijven vertoonden zeker uitstelgedrag bij de invoering van de Europese databeschermingsregels, omdat de GBA nog geen directiecomité had’, zegt Stevens.

Toch heeft de GBA zelf nog werk voor de boeg, erkent Stevens. De zestig personeelsleden moeten worden herverdeeld over de vijf nieuwe entiteiten van de GBA: het algemeen secretariaat, de eerstelijnsdienst voor het opvolgen van klachten, de inspectiedienst voor het controleren van bedrijven, de geschillenkamer en het kenniscentrum dat adviezen verstrekt.

De GBA kan in een van de komende weken misschien een zaak achter zich laten die de nodige tijd opslorpte. Het Brusselse hof van beroep spreekt zich snel uit over de sinds 2015 lopende procedure tussen de privacycommissie en Facebook, over het volgen van niet-gebruikers. Stevens is daar niet rouwig om. ‘Het was niet de efficiëntste inzet van geld. Er zijn tegenwoordig meer opties om reuzen als Facebook op Europees niveau aan te pakken.’

Lees verder

Advertentie
Advertentie

Tijd Connect

Gesponsorde berichten

n