De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt. Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn. De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden… Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.
Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk. GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure. Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen. Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens. Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren. Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”. Sinds maart 2019 biedt de Britse toezichthouder (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is. Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen. Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden. Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.
Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR. Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.Extra informatie nodig? NKVK - De Nederlands Kamer van Koophandel voor België en Luxemburg is er voor duizenden MKB'ers die (meer) internationaal willen ondernemen. Een goede kennis van de markt, bekend geraken met de wetgeving en het vinden van de juiste partners zijn essentieel. Voor u is een vrijblijvend gesprek met NKVK de eerste stap in de goede richting.
Krijg alle updates over onderzoeken en business opportuniteiten!