‘Privacyschendingen: KMO’s zijn een gemakkelijke boeman’

‘De Gegevensbeschermingsautoriteit moet KMO’s beter informeren over hun privacy-verplichtingen’, schrijft Frank Socquet van de studiedienst van De Unie van Zelfstandige Ondernemers (Unizo).

Met dit opiniestuk reageert Unizo op een recent onderzoek van Knack en de KU Leuven, waaruit blijkt dat honderden Belgische websites de privacyregels hebben overtreden.

‘Er komt geen heksenjacht op KMO’s’, verklaarden zowel minister van Digitale Agenda en belast met Privacy, Philippe De Backer (Open VLD) als Willem Debeuckelaere, de voormalige voorzitter van de toenmalige Privacycommissie, nu omgevormd tot de Gegevensbeschermingsautoriteit (GBA). Een welgekomen belofte voor vele KMO’s na de paniek die was ontstaan in de aanloop naar 25 mei 2018, de datum van inwerkingtreding van de Algemene Verordening Gegevensbescherming (GDPR). Sinds die dag riskeren alle ondernemingen boetes tot 20 miljoen euro of 4 procent van hun totale wereldwijde omzet.

Privacyschendingen: KMO’s zijn een gemakkelijke boeman.

Uiteindelijk bleef het relatief stil in de eerste maanden na de inwerkingtreding van de GDPR. Dat was te wijten aan het -ironische- feit dat de nieuwe samenstelling van de GBA nog een klein jaar op zich liet wachten. Maar op de eerste geldboetes was het minder lang wachten. Na een eerste boete van 2.000 euro voor een burgemeester die twee mailadressen had gebruikt voor verkiezingspropaganda, volgde onlangs een tweede boete van maar liefst 10.000 euro voor een handelaar wegens een disproportioneel gebruik van de elektronische identiteitskaart bij de aanmaak van een klantenkaart.

Hoewel de privacy van burgers uiteraard door eenieder moet worden gerespecteerd, doen de bestemmelingen van die eerste boetes vragen rijzen over de focus van de GBA in het beginjaar van haar bestaan.

Vragen over implementering

Natuurlijk zijn individuen en KMO’s makkelijk met de vinger te wijzen want GDPR is een nieuw en moeilijk thema dat vele vragen openlaat wat betreft de praktische implementering ervan. Zo blijkt uit de UNIZO-enquête ‘1 jaar GDPR’ (uitgevoerd in samenwerking met de Universiteit Antwerpen) dat 4 op 10 KMO’s na het doorvoeren van aanpassingen nog steeds niet het gevoel hebben echt ‘GDPR-conform’ te zijn. Via de UNIZO-ondernemers(telefoon)lijn merken we dat ondernemers wel degelijk moeite doen om het thema GDPR te begrijpen, maar als je daarna nog bijvoorbeeld de e-Privacy-richtlijn ter sprake brengt, dan ben je de meeste kwijt. Dan als GBA verklaren dat men nochtans al verschillende jaren de nadruk legt op het cookiegebruik, dan weiger je de ondernemersrealiteit onder ogen te zien.

Een en ander is waarschijnlijk ook te wijten aan een gebrek aan personeel bij de GBA. Zo blijven in tegenstelling tot in Frankrijk en het Verenigd Koninkrijk echte datareuzen buiten schot.

Daarnaast is het ook nog steeds wachten op de sinds enige tijd aangekondigde informeringscampagne voor ondernemingen. Bovendien kunnen we op de website van de GBA nog steeds lezen dat zij helaas niet alle individuele vragen kunnen beantwoorden wegens het grote aantal dat ze ontvangen. En dat de GDPR een work in progress is. En dat hoewel de GBA zo goed mogelijk wil informeren, zij op dit moment nog niet alle vragen kunnen beantwoorden.

Op administratieve geldboetes met een bestraffend karakter zijn de strafrechtelijke beginselen van toepassing, zoals het legaliteitsbeginsel. Met andere woorden, geen straf zonder (duidelijke) wet. UNIZO roept de GBA dan ook op om zich in de nabije toekomst te focussen op het informeren en waar nodig, bijsturen van – in 99% van de gevallen – te goeder trouw zijnde ondernemers, die helaas geen team van juristen ter beschikking hebben voor de implementatie van de GDPR.