De bescherming van eenieders privacy staat eindelijk in het middelpunt van de belangstelling. In Vlaanderen ziet de Vlaamse Toezichtcommissie (VTC) voor zichzelf een proactieve rol weggelegd, terwijl de federale Gegevensbeschermingsautoriteit (GBA) een pragmatische middenweg tussen informeren, adviseren en sanctioneren verkiest.
Wie het helse verkeer naar Antwerpen – met dank aan de eerste regenbuien van de herfst – trotseerde, werd op DPI’s Privacy Cafe (24/9) niet alleen getroost met de onvolprezen brouwsels van de Antwerpse Brouw Companie, gastheer van het gebeuren. In één zitting genoten de talrijke DPO’s en belangstellenden immers zowel van een terugblik op de voorbije Belgische privacy-inspanningen, als van de Vlaamse en federale kijk op de toekomstige verdediging van dat recht.
Want privacy is een recht, zo benadrukt Willem Debeuckelaere, in zijn terugblik op de pre-GDPR privacy-inspanningen. En dat recht verdedigen loopt als een rode draad doorheen zijn hele carrière. Met zijn diploma rechten op zak in 1977, kwam privacy onder zijn aandacht in de jaren tachtig tijdens zijn activiteiten bij de Liga voor Mensenrechten, met al in 1979 belangstelling voor de ‘Marckx vs België’-zaak – een zaak op basis van art. 8 van het Europees verdrag van de rechten van de mensen, want nog “vóór een specifieke privacy-wetgeving.” Om te culmineren als de Belgische ‘Mr Privacy’, dank zij eerst het vice- (2004-2007) en vervolgens het voorzitterschap van de Privacycommissie (2007-2019). Hoogtepunten waren voor hem het akkoord met Swift in 2008, “een resultaat waardoor zij business konden blijven doen, want het is nooit de bedoeling zomaar een verwerking plat te leggen,” en de rechtszaak tegen Facebook, ingezet in 2015, waarbij de commissie het in eerste aanleg in februari 2018 haalde tegen de Amerikaanse reus.
VTC en GBA
Ondertussen nemen de vernieuwde VTC, met voorzitter Hans Graux, en GBA, met voorzitter David Stevens, de verdediging over, en kwamen ze hun toekomstige activiteiten voorstellen. Belangrijk daarbij is een uitgesproken bereidheid tot samenwerking, onder meer om het bedrijven, overheden en personen makkelijk te maken, denk wellicht aan één meldpunt voor data incidenten. De GBA stelt voorts dat zij altijd bevoegd is inzake privacy aangelegenheden, maar dat de VTC eventueel bijkomende eisen kan stellen.
Daarnaast ziet Hans Graux zijn VTC meer “focussen op goede praktijken, om administraties een idee te geven wat ze moeten doen,” om “de workflow te optimaliseren.” Kortom, een proactief optreden. De GBA eist overigens dat meldingen, risico-inschattingen en diens meer correct worden gedaan, en niet ‘engineered’ om geen belletje te doen rinkelen. In zo’n laatste geval zou de GBA bij eventuele problemen al heel wat “minder vriendelijk reageren,” waarschuwt Stevens. “Voorgelegde DPIA’s vermelden vaak heel erg weinig restrisico’s, en dat moeten we allicht wat kritischer bekijken.”
De strategie van de GBA staat ongeveer op punt en voorziet adviezen (“vrijblijvend, geen concrete gevallen. We gaan jullie individuele consultants niet vervangen”) en wil tools aanreiken, onder meer voor KMO’s. Ook worden bewustwordingscampagnes voorzien, onder meer naar het grote publiek, om te wijzen op lange termijn problemen met vrijgegeven data. Daarnaast zal ook sanctionerend worden opgetreden, maar “we gaan geen boetes willekeurig rondstrooien.” “We staan nog aan het begin van de toepassing van de GDPR,” erkent David Stevens.
Steun voor DPO’s
Belangrijk is dat zowel de VTC als de GBA de DPO willen ondersteunen om hem of haar nog meer slagkracht in het bedrijf of organisatie te bezorgen. En die DPO’s kunnen zo’n steuntje nog wel best gebruiken. Een snelle rondvraag door DP Audit – partner van deze Privacy Café sessie – bij de aanwezigen leerde immers dat haast 80% van hen wel een ‘data protection audit’ voorzien in hun verwerkingsovereenkomsten, maar dat daar slechts zelden gebruik wordt van gemaakt (bij 9,6% van de verantwoordelijken, 11,9% van de verwerkers)! Een meerderheid was wel van plan hier werk van te maken in 2020, met het oog op ‘compliance’, ‘risk analysis’ en ‘accountability’. De andere partner, Crowell Moring, wees ook op de noodzaak om een balans te vinden met andere regelgevingen, om een sluipende GDPR-moeheid de pas af te snijden.