Tegen 25 mei 2018 moeten bedrijven, organisaties, en overheden hun bedrijfsvoering in overeenstemming brengen met de nieuwe Europese privacy-verordening (GDPR). Dit proces verloopt zeer moeizaam in Vlaanderen. De aftelklok op de site van de federale Privacycommissie begint steeds meer op een doomsday clock te lijken. Men staat er niet bij stil dat elke organisatie die persoonsgegevens verwerkt, onder de regelgeving valt: dat gaat van kleine zelfstandigen en culturele organisaties tot zorginstellingen,  lokale bibliotheken en besturen, … en ga zo maar door.

UNIZO stelt dat momenteel slechts één op vijf Vlaamse KMO’s klaar is voor de GDPR (09/11/2017). Iedereen schijnt het weliswaar eens te zijn dat het vijf voor twaalf is, maar toch krijgt wie aan de alarmbel trekt weinig of geen gehoor bij de Vlaamse overheid, zo blijkt uit mijn bevraging van de betrokken Vlaamse Ministers. Zo vind Philippe Muyters dat “wij als overheid niet alles moeten doen. De afspraak is dat Voka en UNIZO beter geplaatst zijn om dergelijke dingen over te maken aan de bedrijfswereld”.

Ik ben echter van mening dat de wetgever wel de plicht heeft om de bewustwording omtrent de GDPR aan te wakkeren, zeker gezien inbreuken vanaf 25 mei ook (zwaar) beboet zullen kunnen worden. Dit gaat verder dan het thema even aankaarten op een studiedag of sensibilisering en dienstverlening overlaten aan middenveldorganisaties als UNIZO/VOKA of belangenbehartigers als FOV (Federatie sociaal-cultureel werk), zoals Ministers Muyters en Gatz geneigd zijn te doen. De zeer waardevolle initiatieven die vanuit het veld op poten gezet worden, zouden op zijn minst in kaart gebracht of zelfs aangestuurd moeten worden door de betrokken departementen. Verontruste ondernemers of organisaties worden nu in het beste geval doorverwezen naar de federale Privacycommissie, die op haar beurt momenteel niet de mankracht of middelen heeft om de dienstverlening op dat vlak te verzekeren, of moeten hun toevlucht zoeken tot peperdure consultants en zelfverklaarde data protection officers (de ene al meer betrouwbaar en werkelijk gekwalificeerd dan de andere).

Dat sommige beleidsmakers de perceptie voeden dat de GDPR enkel grote bedrijven viseert, helpt ook niet. Zo liet Minister Gatz zich ontvallen: “Alvorens zo goed mogelijk op de concrete vragen te antwoorden, wil ik er toch even op wijzen dat het belang van deze richtlijn zich vooral situeert in het controleren en beheersen van algemene privacygegevens binnen economische organisaties, binnen bedrijven, met andere woorden. U schudt het hoofd, maar het belang is hoofdzakelijk daarop gericht. Anders zou de Europese Commissie ook niet voorzien in boetes op de omzet. Dus met andere woorden, ‘first things first’. Iedereen moet daar inderdaad wel onder vallen, dat klopt, maar er is de letter en de geest van een wet en een richtlijn, en de geest is in dit geval duidelijk dat men de privacy van de mensen wil beschermen ten aanzien van grotere economische organisaties.”

Dit is werkelijk hallucinant. Als een burger vindt dat zijn persoonsgegevens oneigenlijk verzameld of gebruikt worden door bijvoorbeeld een cultuurhuis en vervolgens klacht indient bij de nieuwe Gegevensbeschermingsautoriteit (de opvolger van de Privacycommissie), dan zal deze niet anders kunnen dan de klacht te onderzoeken. Dat de autoriteit een onderscheid zou kunnen maken tussen de “letter” en de “geest” van de wet is  wereldvreemd en voedt de perceptie dat niet-commerciële organisaties niet al te zwaar moeten tillen aan de nieuwe verordening.

Het is nu werkelijk alle hens aan dek, de Vlaamse overheid mag zich niet langer blijven verschuilen achter het feit dat privacy een federale materie is, maar moet binnen haar bevoegdheden een serieus tandje bijsteken om er niet alleen voor te zorgen dat zo veel mogelijk kleine ondernemers, organisaties en lokale besturen zich ervan bewust zijn dat de GDPR ook op hen van toepassing is en hen toe te leiden naar betrouwbare specialisten ter zake.