Nieuwe privacywet
25 mei is D-Day voor de nieuwe Europese privacywetgeving. Is iemand al volledig GDPR-proof?
Ontvangt u ook ontelbare e-mails van bedrijven die u laten weten dat ze om uw privacy geven? Vanaf volgende week vrijdag moet iedereen de verstrengde Europese privacywet naleven. Er heerste de afgelopen weken soms wat paniek, maar die lijkt nu wat gaan liggen. 'We hebben alle redelijke en mogelijke stappen genomen'.
ZIEKENHUIZEN
Wie dacht een beroep te doen op het recht om vergeten te worden om zijn medische gegevens te verwijderen, is eraan voor de moeite. "Medische gegevens worden niet verzameld op basis van toestemming, maar uit noodzaak voor behandeling", zegt Tom Balthazar van ziekenhuiskoepel Zorgnet-Icuro. U kunt dus vragen om een behandeling stop te zetten, maar niet om de gegevens die uit de behandeling voort komen te laten verwijderen.
Als er een plek is waar gevoelige gegevens samenkomen, is het wel het ziekenhuis. Het hoeft dan ook niet te verbazen dat zij al een tijd bezig zijn met de voorbereidingen op de nieuwe Europese privacywetgeving.
Toch vergt de GDPR ook bij de ziekenhuizen extra inspanningen. Zo verhoogt de nieuwe privacywetgeving de verantwoordingsplicht aanzienlijk. "Je moet over de juiste procedures en instrumenten beschikken om aan te tonen dat je op een goede manier met de persoonsgegevens omspringt. Daarnaast moeten we in extra opleidingen voor het personeel voorzien", zegt Peter Raeymaekers van Zorgnet-Icuro.
Wat is dat nu weer, die GDPR? Of was het AVG?
De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet van Europese Unie bestaat. Die wet bestaat al 2 jaar, maar treedt pas volgende week in werking. Bedrijven zullen transparanter moeten zijn in de manier waarop ze met uw data omgaan. Ze moeten ook kunnen motiveren waarom ze welke data bijhouden. Hoe dichter de deadline van de definitieve inwerkingtreding op 25 mei naderde, hoe meer de nervositeit steeg.
En die inspanningen kosten geld. De opstartkost is moeilijk in te schatten volgens Zorgnet-Icuro. De terugkerende kost wordt geschat op een voltijdse werknemer per ziekenhuis. "Daarnaast zijn er ook heel wat indirecte kosten, zoals de software die duurder zal worden omdat ook de softwareleveranciers aan de GDPR zullen moeten voldoen."
Bij de ziekenhuizen verwacht men dan ook geen big bang. "De overheid moet bijvoorbeeld nog de Gegevensbeschermingsautoriteit (de opvolger van de privacycommissie) verder uitwerken. Het is sowieso een traject dat stap per stap zal worden afgelegd, ook na 25 mei."
ZELFSTANDIGEN EN ONDERNEMERS
Of je nu slager of aannemer bent: iedereen heeft in de loop der jaren klantendata verzameld. In hoeverre mag je die nog gebruiken? Wanneer heb je die gegevens verzameld? Op welke manier? Waarvoor gebruik je die persoonsgegevens precies?
"Hoe lang mag een tuinbouwcentrum de verkoopsgegevens van een grasmaaier bijhouden?", geeft Frank Socquet van Unizo als voorbeeld. De GDPR spreekt over een redelijke termijn. "Maar wat is een redelijke termijn voor het bijhouden van gegevens bij de verkoop van een grasmaaier? Is dat de duur van de garantie? Of moet je anticiperen op mogelijke juridische stappen? Dan moet je uitgaan van een verjaringstermijn van 10 jaar. Veel hangt af van het doel waarvoor je data bijhoudt."
Bij Unizo ervaren ze dat KMO's steeds meer vragen hebben over de GDPR. In 2018 kwamen er 537 vragen binnen via de ondernemerslijn van Unizo. 286 daarvan in de laatste zes weken. De ondernemersorganisatie voorziet video's, frequently asked questions en info-avonden om iedereen te informeren over de GDPR.
Ondernemingen kunnen op de website van Unizo controleren of ze klaar zijn voor de GDPR. En die resultaten vallen tegen. 38 procent van de zelfstandigen is verre van klaar en bevindt zich in de gevarenzone, 47 procent heeft enkele ingrepen nodig en 15 procent moet enkel kleine aanpassingen doen.
"Wij hebben de regering enkele weken geleden al opgeroepen om ook na 25 mei in de eerste plaats in te zetten op eerstelijnsbijstand en enkel adviserend en bijsturend op te treden ten aanzien van KMO's."
KAPPERS
Wanneer u na 25 mei een nieuwe coupe laat knippen, zou u wel eens uitdrukkelijk de vraag kunnen krijgen of er ook een foto na die knipbeurt op Instagram mag verschijnen.
Kappers hebben vooral vragen over hoe ze met foto's moeten omgaan, of ze aanpassingen moeten doen aan hun website en wat ze nu moeten doen met de klantenbestanden. Moeten kappers de persoonsgegevens die daarbij horen opnieuw opvragen of mogen ze die gegevens gebruiken om klanten op de hoogte te houden met een nieuwsbrief?
Kappersfederatie Coiffure.org werkt samen met Unizo om zijn kappers te informeren over de GDPR. "Het probleem is dat ons publiek met meer vragen buiten komt na algemene GDPR-sessies dan antwoorden ", zegt Mitch Mues van Coiffure.org. "Wij voorzien informatiesessies die specifiek voor kappers georganiseerd worden in verschillende provincies."
"Het voordeel is dat kappers van nature goed georganiseerd zijn. Eens ze weten wat wel en niet kan, zullen ze zich perfect aan de regels houden", zegt Mues.
GEMEENTEN EN OCMW's
Onze gemeenten en OCMW's hadden een streepje voor ten opzichte van verenigingen en bedrijven in de implementatie van de GDPR. "Gemeenten en OCMW's hebben al een informatieveiligheidsconsulent die toezicht houdt op de gegevensbescherming van burgers", zegt Nathalie Debast van de Vereniging van Vlaamse Steden en Gemeenten (VVSG).
Al maakt ook zij zich geen illusies: geen enkele stad of gemeente zal volledig in orde zijn met de regels van de GDPR. "Iedereen is zich bewust van de GDPR en doet er alles aan om de basis van de privacywetgeving in orde te krijgen. Het is nu eenmaal heel belangrijk om het vertrouwen van burgers niet te schaden."
Bij gemeenten en OCMW's komen heel wat data samen. Van wie parkeerboetes niet betaalde, over wie ingeschreven is voor de speelpleinwerking, tot een opnameovereenkomst in het woonzorgcentrum.
"De vraag hoe je omgaat met digitale informatie vraagt een investering. Je moet beleid hebben en je moet duidelijke processen uittekenen", zegt Debast. "Steden en gemeenten hebben een data protection officer nodig die alle lijnen uitzet, dat is een volwaardige functie. Je neemt dat er niet zomaar bij."
ONDERWIJSKOEPELS EN UNIVERSITEITEN
Ook voor universiteiten heeft de GDPR een enorme impact. Er is niet alleen de data van personeelsleden en studenten waar omzichtig mee moet worden omgegaan. "Ook wanneer een onderzoeker persoonsgegevens nodig heeft voor zijn onderzoek, moet die daar secuur mee werken", zegt Audrey Van Scharen, die sinds januari data protection officer (DPO) is aan de VUB. "Alleen: de kaderwet die de regels voor wetenschappelijk onderzoek moet regelen, en de GDPR laat nog wel wat ruimte voor interpretatie in dat domein."
De verschillende universiteiten overleggen regelmatig met elkaar. "Bovendien worden alle maatregelen die we nemen, besproken met de privacycommissie", zegt Van Scharen.
Zij is ervan overtuigd dat de VUB alle redelijke en mogelijke stappen zal genomen hebben om de regels van de GDPR na te leven. "Maar helemaal GDPR-compliant? Dat zou sterk zijn. De GDPR vereist een mentaliteitswijziging op individuele en organisatorische schaal. Dat is een proces van lange adem."
Van Scharen vreest vooral dat een aantal studenten hun recht tot toegang zullen gebruiken om te kunnen achterhalen welke gegevens de universiteit allemaal over hen heeft en hoe ze die precies gebruiken.
"Indien er tientallen aanvragen tegelijkertijd binnenkomen, zijn we enkele dagen bezig. Studentendata zit nog steeds verspreid over verschillende diensten. Denk aan de huisvesting, de sportdienst, studentenvoorzieningen en de faculteiten. We willen op termijn misschien naar een centrale database, maar die is er nog niet."
Navraag bij het Gemeenschapsonderwijs en het Katholiek onderwijs leverde geen antwoorden op. Zij willen pas volgende week gezamenlijk een stand van zaken meegeven.
SOCIO-CULTURELE VERENIGINGEN EN SPORTCLUBS
Niemand ontsnapt aan de nieuwe Europese privacywetgeving, ook verenigingen en sportclubs niet. Bij Scwitch, een organisatie die non-profit verenigingen ondersteunt, staat de telefoon niet stil. "Maar echte paniek is het niet", zegt Luk Tas die de ene informatiesessie na de andere geeft. "Mensen zijn gewoon op zoek naar de juiste informatie."
Verenigingen en sportclubs draaien op engagement. Wanneer daar plots een taak bijkomt om een privacyverklaring op te stellen of om te controleren naar wie de nieuwsbrief nog mag worden verstuurd, komt dat vaak bij een persoon terecht.
"Wij proberen organisaties gerust te stellen dat 25 mei geen doomsday is en te begeleiden waar mogelijk", zegt Tas. "We krijgen bijvoorbeeld veel vragen over foto's en of je die mag delen op sociale media."
De laatste tijd neemt de intensiteit op informatiesessies toe. "De GDPR is alomtegenwoordig. Maar er hangt ook een wolk onduidelijkheid rond. In het begin, toen mensen nog zonder enige kennis en vooroordelen naar de informatiesessies kwamen, was dat iets eenvoudiger."
Bij Sport Vlaanderen weet men niet precies hoever alle clubs staan met het implementeren van de privacyregels. Er worden wel informatiesessies aangeboden. "Iedereen is met de GDPR bezig. Ik verwacht bovendien begrip van de nieuwe gegevensbeschermingsautoriteit (GBA) voor verenigingen en sportclubs. Maar zelfs die GBA is er nog niet", lacht Tas.
BANKWEZEN
Ook bij de Belgische banken maakt men zich geen illusies. 25 mei is geen eindmeet, maar een start van een continue oefening. "Banken hebben altijd nood gehad aan een goed datamanagement en zijn bovendien onderworpen aan heel wat specifieke reglementering", klinkt het bij Febelfin, de koepel van de financiële sector in ons land. Nieuwigheden in de GDPR zoals data protection officers en verwerkingsregisters werden in het bankwezen al enkele jaren gehanteerd.
Toch laat de sector weten dat de voorbereidingen voor de GDPR heel intens waren.
"Toestemmingen beheren, privacy-verklaringen herbekijken, klanten informeren, interne procedures en verantwoordelijkheden herorganiseren, websites aanpassen, ... Om dat alles te kunnen doen, hebben heel wat banken extra personeel aangeworven."
Een van de meest ingrijpende veranderingen komt er omwille van het principe van minimale verwerking en privacy by design. "Die vereisen een grondige doorlichting van alle databanken waarover de banken beschikken. Een bank mag gegevens niet gebruiken en bewaren voor zover dat strikt noodzakelijk is en voor zover die gegevens relevant zijn en blijven. Het opslaan van gegevens zonder een duidelijk doel is niet langer toegestaan."
RECLAMEWERELD
Gepersonaliseerde reclame wordt steeds belangrijker. Maar is dat nog wel mogelijk met de nieuwe Europese privacywetgeving? Na een rondvraag bij verschillende mediabureaus die reclamecampagnes opzetten voor adverteerders blijkt dat al bij al mee te vallen.
"De GDPR handelt in de eerste plaats over persoonsgegevens, maar targeting gebeurt niet op basis van persoonlijke data. De data die we gebruiken in mediacampagnes is geanonimiseerd", zegt Bernard Cools van Space.
Lees: Mediabureaus plannen reclamecampagnes in bij bijvoorbeeld Facebook. Het is Facebook die de data verzamelt. De mediabureaus krijgen die data nooit te zien.
"Dat neemt niet weg dat wij moeten nagaan of advertentiebedrijven zoals Facebook en Google hun huiswerk goed gemaakt hebben", vult Vera Goossen, CFO van Omnicom Media Groep aan. "Hebben die bedrijven de toestemming van gebruikers dat hun persoonsgegevens gebruikt worden voor gepersonaliseerde reclame? En wordt die data op de juiste manier verzameld, bewaard, beheerd en verwijderd?"
***
Staatssecretaris voor Privacy Philippe De Backer (Open Vld): "Zware inbreuken worden vanaf dag één aangepakt"
Staatssecretaris voor privacy Philippe De Backer (Open Vld) erkent dat er nog een aantal onduidelijkheden zijn in verband met de nieuwe privacywetgeving. "De GDPR schetst een kader. Het is de privacycommissie die de onzekerheid moet weg nemen. Het wil niet alles bij wet vastleggen, anders krijgen we de kritiek dat er overregulering is."
De zenuwachtigheid die vandaag overal te voelen is, heeft te maken met de sensibilisering die tekort schoot. "De privacycommissie heeft de opdracht om duidelijkheid te verschaffen, maar dat is niet altijd even goed gelukt. Vandaar dat we ook na 25 mei verder inzetten op informatieverstrekking."
Dat wil niet zeggen dat er eerst een soort gedoogperiode ontstaat. "De GDPR is niet vrijblijvend. Zware inbreuken zullen vanaf dag 1 aan de kaak gesteld worden. België heeft ook niet getwijfeld om Facebook voor de rechter te dagen. Heel de procedure om inbreuken vast te stellen, voor een geschillencommissie te brengen en indien nodig een boete op te leggen is goedgekeurd."
De staatssecretaris richt zijn pijlen in eerste instantie op organisaties die grote hoeveelheden data of gevoelige data verwerken. "Scoutsen en voetbalploegen zijn inderdaad geen prioriteit. Dat neemt niet weg: de GDPR is een mentaliteitswijziging in een samenleving die steeds digitaler wordt."
Op de kaderwet, die een aantal uitzonderingen binnen de GDPR regelen, wordt volgende week op de ministerraad goedgekeurd. "Daar worden een aantal uitzonderingen in geregeld. Zo leggen wij de toestemmingsgrens op 13 jaar in plaats van 16 jaar. Daarnaast voorzien we nog enkele uitzonderingen voor de journalistiek en research en onderzoek.
De Backer maakt zich ook sterk dat de nieuwe Gegevensbeschermingsautoriteit tijdig geïnstalleerd zal zijn. "In december 2017 is de wet unaniem goedgekeurd die alle bevoegdheden en procedures van de nieuwe gegevensbeschermingsautoriteit vastlegt. Het parlement wilde zelf de benoemingen doen. Die procedure loopt. Ze zijn nu aan zet."
