Paniek bij kmo’s rond Europese privacywet is niet terecht

De aankomende nieuwe Europese privacywetgeving zorgt voor een toenemende onrust op de markt. Kmo’s worden zich steeds meer bewust van de grote impact en vrezen hoge boetes als ze de regels niet op tijd doorvoeren. Maar is die paniek terecht? Bij de implementatie van een nieuwe wetgeving is het altijd zoeken naar een nieuwe maatschappelijke balans. Dat vraagt tijd en gaat in fases. Net dat geeft kmo’s wat meer ruimte.

In mei 2018 gaat de Europese General Data Protection Regulation (GDPR) van kracht. Deze verordening moet de privacy van Europese burgers beschermen in de snelgroeiende data-economie. De wet werd al aangenomen in 2016, maar ondertussen komt ook de implementatie dichtbij. Die naderende deadline zorgt voor paniek onder bedrijven. De meeste zouden  immers nog niet klaar zijn, waardoor ze in theorie boetes riskeren die kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Grote schoonmaak

Laten we er geen doekjes om winden: de impact van de GDPR is groot en breed. Hoewel de verordening  kmo’s op een aantal punten ontziet, is de regeldruk zwaar voor alle bedrijven die persoonsgegevens bezitten of verwerken. Zowel grote als kleine bedrijven moeten vaker expliciete toestemming vragen aan consumenten om hun gegevens te gebruiken. Tegelijkertijd moeten ze hen de gelegenheid geven deze toestemming ook weer gemakkelijk in te trekken. Ze staan dus voor de taak hun datastromen in kaart te brengen en riskeren een hoge(re) boete wanneer ze datalekken niet binnen 72 uur melden aan de toezichthouder. Kortom, deze nieuwe wetgeving vraagt om ingrijpende administratieve, technische en organisatorische maatregelen.

De vraag is: zat die reorganisatie voor de meeste bedrijven er sowieso niet aan te komen? Efficiënt werken vereist een up-to-date housekeeping. Welke data wordt er verzameld? Wat wordt ermee gedaan? Met welk doel en waar is dit gedocumenteerd? Zijn de IT-systemen voldoende beveiligd? Welke data mogen weg, of móeten weg, juridisch gezien? Wie overeind wil blijven, zorgt dat deze zaken op orde zijn. Geen leuke opdracht, maar het moet nu eenmaal gebeuren. Een grote schoonmaak, zeg maar.

De aankomende privacywetgeving zet druk op de ketel, maar dat is misschien nu net wat bedrijven, met name kmo’s, kunnen gebruiken. Het zorgt voor de nodige sense of urgency bij het bestuur, waardoor er middelen worden vrijgemaakt. Alleen slaat die gezonde sense of urgency bij veel bedrijven om in onnodige paniek. Zijn we een jaar of meerdere jaren verder en heeft de grote schoonmaak nog steeds niet goed plaats gevonden, dan ligt het genuanceerder. Voor nu is het nog te vroeg.

Uitbalanceren

De GDPR geldt straks in 28 landen. Omwille van die uniformiteit, heeft de wet zaken open gelaten. Het feit dat er een Europese werkgroep actief is om bepaalde zaken uit te kristalliseren en neer te leggen in beleidsrichtlijnen, zegt genoeg. De nieuwe wet trekt de krijtlijnen, maar het is vervolgens aan de rechtbanken, bedrijven en burgers om deze te vertalen naar de praktijk. En dat vraagt om maatschappelijk debat, onderzoek en tijd.

Er zullen eerst rechtszaken, trial cases en uitspraken rondom de grote spelers volgen, waarmee de concrete interpretatie van de wet verder wordt bepaald. Het is niet waarschijnlijk dat de autoriteiten vanaf mei 2018 meteen een middelgrote webshop, verhuurbedrijf of horecazaak proactief gaan beboeten.

Datalek

Wanneer er zich daadwerkelijk een groot datalek voordoet waarbij de persoonsgegevens van burgers in het gedrang komen, is het uiteraard irrelevant wat de grootte van de organisatie is. Maar ook dan wordt niet per definitie de maximale boete opgelegd. Het gaat er de Europese wetgever en de Autoriteiten Persoonsgegevens om dat bedrijven zo zorgvuldig mogelijk met data omgaan. Sleutelwoord in de GDPR is accountability: een ‘verwerkingsverantwoordelijke’ moet te allen tijde kunnen aantonen dat er passende technische en organisatorisch maatregelen zijn getroffen die de door de GDPR vereiste dataverwerking waarborgen. Tweede sleutelwoord is passend: de maatregelen moeten passen binnen de context van het bedrijf en de dataverwerking die plaatsvindt.

Zelfs al zijn de juiste maatregelen getroffen, een datalek kan nog steeds elk bedrijf overkomen. We kunnen ons bedrijf nu eenmaal niet afsluiten van de buitenwereld. Wanneer het mis gaat, zal de Privacycommissie altijd rekening houden met de specifieke omstandigheden. Kunt u aantonen dat uw bedrijf passende administratieve, technische en organisatorische maatregelen heeft genomen, zowel preventief als reactief, dan zal dit verzachtend werken.

Evenwicht

De implementatie van een nieuwe wet is zoeken naar een evenwicht tussen de diverse spelers. Dat moet zich uitkristalliseren. Niet alleen voor diegenen die hem moeten naleven, maar ook voor de rechtsprekende macht en de toezichthoudende organen. De Privacycommissie is naar mijn mening - in tegenstelling tot wat paniekberichten in de media doen geloven - geen aanstormende politiemacht die direct paraat staat om vanaf mei 2018 gretig boetes uit te schrijven aan het gehele Belgische bedrijfsleven. Ja, zij zal de GDPR handhaven, maar niet met de doelstelling zoveel mogelijk geld op te halen. Wel om mee vorm te geven aan een nieuwe maatschappelijke balans inzake privacy.

We staan aan de vooravond van een nieuw hoofdstuk in onze omgang met privacy. Het kader is er, maar op de praktische invulling is het nog even wachten. Kunnen kmo’s op hun lauweren rusten? Zeker niet. Maak gebruik van deze sense of urgency om uw bedrijf future-proof te maken. Maar laat paniek achterwege, want dat is nu niet nodig.