In de aanloop naar 25 mei 2018 werd door heel wat bedrijven in overdrive gewerkt om tegen die datum de nieuwe Europese privacy-wetgeving – de General Data Protection Regulation – in de praktijk na te leven. Vandaag behoort iedereen te beseffen dat die inspanningen niet mogen verslappen. Sommigen moeten zelfs nog een tandje bijsteken om de naleving van de GDPR echt op punt te stellen. Of om de naleving ervan op te volgen.

Een lange aanloop

Die versnelling lijkt helaas niet nodig bij onze overheid. Niet dat er op 25 mei geen bevoegde Gegevensbeschermingsautoriteit (GBA) was. De vroegere Privacycommissie transformeerde tijdig in die nieuwe autoriteit dank zij de oprichtingswet van 2017, maar nadien was het wachten geblazen. De nieuwe Belgische privacywet, die de GDPR nog een aantal Belgische accenten moest geven, evenals een aantal Belgische wetten moest aanpassen, kregen we pas in juli van vorig jaar.

En wie meteen een sterk pro- en reactief optreden van de GBA verwachtte, bleef meer dan op zijn honger zitten. Immers, de middelen van de vroegere commissie werden niet echt versterkt en de aanstelling van de nieuwe leiding sleepte zelfs haast een jaar aan, tot april 2019.

Na zo’n lange aanloop kan er nu pas aan een nieuwe strategie en visie gewerkt worden. Een strategie die moet bepalen hoe de GBA zal optreden wat betreft hulp en adviezen aan bedrijven. Maar evengoed hoe hard er wordt opgetreden tegen wie inbreuken pleegt.

Kortom, terwijl bedrijven al meer dan een jaar behoren te werken aan de naleving van de GDPR, kan de GBA nu pas echt uit de startblokken schieten. Althans, nadat de personeelsleden van de autoriteit zijn verdeeld over de nieuwe entiteiten, zoals voorzien in de oprichtingswet. Denk daarbij aan het algemeen secretariaat, de opvolging van klachten (eerstelijnsdienst), de controle van bedrijven (inspectiedienst), de geschillenkamer en het kenniscentrum.

Terwijl bedrijven al meer dan een jaar behoren te werken aan de naleving van de GDPR, kan de GBA nu pas echt uit de startblokken schieten.

Jaarverslag

Niet dat de autoriteit het voorbije jaar helemaal bij de pakken is blijven zitten. Op haar website werd ondertussen al een eerste jaarverslag gepubliceerd. Het werd een jaar waarin nog een aantal van de voorgaande activiteiten werden genoteerd, zoals het verstrekken van adviezen en de verwerking van nog meer dan 2.000 aangiftes van gegevensverwerkingen.

Nadien hebben de eerstelijnsdienst, inspectiedienst en geschillenkamer al hun werking op de nieuwe en meer talrijke taken afgestemd. Daarbij stootten ze al meteen op de limieten van de beschikbare middelen. Zo lezen we bij het verslag van de eerstelijnsdienst: de dienst heeft in haar zelfde bezettingsgraad het hoofd moeten bieden aan een ongekende aanwas van taken en heeft hiervoor ook keuzes moeten maken in de behandelingswijze.” En verder: “de burger wordt in de mate van het mogelijke aangespoord om in de geest van de [GDPR] eerst zelf zijn/haar rechten uit te oefenen bij de verwerkingsverantwoordelijke.” Ook het verkiezingsjaar 2018 zorgde voor meer werk, in het kader van verkiezingspropaganda.

In 2018 werd sowieso heel wat energie gestopt in het verstrekken van informatie over de GDPR, zowel op de eigen website, als in een hele reeks spreekbeurten en presentaties.

Werk aan de winkel

Nu de directieleden van de GBA definitief zijn benoemd, is het uitkijken naar de reële ontwikkeling van de activiteiten. Die moeten nog een rist uitdagingen aangaan. Immers, ook op Europees niveau worden nog een aantal interpretaties van de GDPR verder uitgewerkt. En het is afwachten hoe strikt de GBA gaat optreden tegen bedrijven en organisaties die inbreuken plegen. Gaat men voor de grote vissen, zoals het initiatief tegen Facebook? Of gaat men ook kleinere bedrijven aanpakken, en zo ja, hoe hard? Immers, heel wat – wellicht de meeste – kmo’s hebben het nog moeilijk met de GDPR.

En voorts is er de naleving in de praktijk. Hoe goed gaan de bedrijven écht met persoonsgegevens om? En hoe gemakkelijk kan je je betrokkene dat te weten komen? Een test van de VRT bij 40 bedrijven, eind 2018, wees erop dat antwoorden op aanvragen door betrokkenen vaak niet of gebrekkig werden gegeven. En dan is er zeker ook al GDPR-moeheid bij bedrijven, naast bedrijven waar er ronduit te weinig (of zelfs niets) is gebeurd. Kortom, na een jaar Belgische Gegevensbeschermingsautoriteit heeft de GDPR-berg een muis gebaard, die hopelijk in het komende jaar fiks zal groeien.

Foto: Jan Antonin Kolar via Unsplash

Meer weten?

Test uw kennis

Of schrijf u hier in voor onze GDPR-Info nieuwsbrief