GDPR: De Gegevensbeschermingsautoriteit aan de zijde van bedrijven

Langzaam maar zeker

Drie jaar geleden trad de GDPR in werking. Tijd genoeg om de regels toe te passen, zou je denken. Maar de realiteit is ietwat anders: de bewustwording groeit, maar we zijn er nog niet. “De bedrijven passen zich langzaam maar zeker aan. Bovendien kiezen ze vandaag massaal voor digitale tools en duiken er voortdurend nieuwe soorten gegevens op. Een continu proces dat heel wat vragen oproept. En daar willen wij een antwoord op bieden”, benadrukt Aurélie Waeterinckx, woordvoerster van de Gegevensbescherminsautoriteit.

Te weinig organisaties doen een beroep op de gedragscode om aan te tonen dat de verplichtingen van de GDPR worden nageleefd.

Aurélie Waeterinckx, woordvoerster van de GBA

Daar zijn de DPO’s

Intussen ontstond ook een nieuw beroep: de DPO of Data Protection Officer. Een DPO is meestal een externe medewerker die het traject aanstuurt en dus een belangrijke rol speelt om vooruitgang te boeken. Alles begint bij een audit van de persoonlijke gegevens die in de organisatie worden verwerkt. Vervolgens voert de DPO de eventuele corrigerende maatregelen in. Volgens de woordvoerster is de DPO een echte partner van de GBA. “We hebben immers hetzelfde doel: sancties vermijden door een goede voorbereiding vooraf.”

Gedragscode als tool

Terwijl de bedrijven zich moeten schikken naar de regelgeving, moet ook de GDPR voortdurend worden aangepast aan de digitale revolutie en de nieuwe gebruiksvormen die uit deze technologieën voortvloeien. Volgens Aurélie Waeterinckx kunnen hiervoor bestaande tools worden ingezet: “Te weinig organisaties doen een beroep op de gedragscode om aan te tonen dat de verplichtingen van de GDPR worden nageleefd. De gedragscode op zich is geen garantie voor de naleving van de regelgeving, maar wel een grote troef bij de beoordeling van die naleving. Ook hierin willen wij de bedrijven begeleiden.”

De GDPR-reflex moet ontstaan vóór de start van een project.

Aurélie Waeterinckx, woordvoerster van de GBA

Bemiddeling, sancties en begeleiding

In 2020 zagen we een sterke toename van het aantal klachten (+290%) en het aantal meldingen van gegevenslekken (+25%). In de top drie van de klachten staan direct marketing, COVID-19 gerelateerde klachten en de gegevensverwerking door steden en gemeenten. “Bemiddeling blijft de snelste manier om je rechten te herstellen. In 2020 telden we 89 bemiddelingsdossiers. Daarnaast hebben we 83 beslissingen uitgesproken met 78 sancties als resultaat, waarvan er 19 tot een boete hebben geleid. Dat aantal willen we drastisch verlagen door de bedrijven vooraf te begeleiden”, legt Aurélie uit.

De GDPR-reflex

Maar wat zijn de voornaamste fouten die de bedrijven vandaag nog begaan? Volgens Aurélie staat marketing zonder voorafgaande toestemming op de eerste plaats, gevolgd door een meer algemeen gebrek aan transparantie. Gebruikers krijgen geen (of weinig) informatie over de verwerking van hun persoonsgegevens. “We merken ook dat er weinig belang wordt gehecht aan het werk van een DPO in een bedrijf of dat er amper vooraf wordt nagedacht. De GDPR-reflex moet ontstaan vóór de start van een project.”

Voorkomen is beter dan genezen

Aurélie Waeterinckx koestert de hoop dat bedrijven op een dag volledig GDPR-conform zullen werken. De Gegevensbeschermingsautoriteit zet dan ook alle mogelijke middelen in om de bedrijven te sensibiliseren en te adviseren. In 2020 werden zo maar liefst 4.000 vragen behandeld in eerste lijn. Daarnaast bevat de website van de GBANieuw venster een schat aan informatie zoals de publicaties van haar beslissingen. “Dé manier om lessen te trekken en je voor te bereiden. Wie zich abonneert op onze newsletter krijgt bovendien als eerste de meest relevante updates.”

Ook kmo’s worden bij de GBA niet vergeten, want dankzij het project ‘Boost’Nieuw venster krijgen ook zij een specifieke praktische ondersteuning. Voor de DPO’s is er dan weer DPO Connect:Nieuw venster een tool om kennis te verzamelen, te filteren, te organiseren én te delen met andere professionals die actief zijn op het vlak van privacybescherming in België.