De meeste Belgische ondernemingen zijn zich nog volop aan het voorbereiden op de nieuwe Europese privacywetten, of moeten er zelfs nog aan beginnen, zo blijkt uit een studie van PwC en Law Square. Nochtans dringt de tijd.
Op 25 mei 2018 is het zover, dan treden de nieuwe Europese regels rond dataprivacy in werking, de zogenaamde General Data Protection Regulation. Zowel Europese als niet-Europese organisaties die gegevens verwerken van Europese burgers zullen aan de nieuwe wet moeten voldoen. Zo moeten ondernemingen bijvoorbeeld voortdurend op de hoogte zijn hoe en waar data wordt verwerkt, moeten er voorzorgen genomen worden rond security en compliancy en moeten datalekken binnen 72 uur aan de autoriteiten gemeld worden.
Sommige ondernemingen zullen ook verplicht worden om een data protection officer in dienst te nemen, bijvoorbeeld wanneer er systematisch en op grote schaal data verzameld wordt of wanneer er op grote schaal ‘gevoelige’ data wordt ingezameld. Het gaat dan over bijvoorbeeld gezondheid, religie, seksuele voorkeur, criminele feiten die werden gepleegd, et cetera.
De boetes die voorzien zijn bij het niet-naleven van de regels zijn fors. Ze kunnen oplopen tot 4 procent van de totale wereldwijde omzet of twintig miljoen euro. Er wordt sowieso voor het hoogste bedrag gekozen.
Geen idee waar data naar toe gaat
Uit een onderzoek van het consultancybureau PwC en het advocatenkantoor LawSquare bij 120 respondenten blijkt dat Belgische ondernemingen toch nog wel wat werk aan de winkel hebben om zich in regel te stellen. Zo zegt maar drie op de tien bedrijven dat ze al ver of heel ver staan in dat proces en zelfs van hen heeft een heel groot deel het proces nog niet afgerond. Tegelijkertijd geeft twee derde aan dat er nog heel veel moet gebeuren vooraleer men in regel is.
Ongeveer 38 procent van de ondervraagde ondernemingen is al begonnen met het in kaart brengen van hun eigen activiteiten qua dataverwerking. Nog maar 7 procent heeft al procedures om datalekken te rapporteren. Veel ondervraagden weten zelfs nog niet dat het aangeven van datalekken verplicht wordt. Net geen kwart (23 procent) van de bedrijven weet ook niet welke persoonlijke data die ze verzamelen uiteindelijk in handen valt van derde partijen. Nog maar net de helft heeft al extra investeringen gedaan in verband met privacy compliance. Enkel bij de zeer grote bedrijven (meer dan vijfhonderd werknemers) loopt dit op tot bijna 90 procent. Bij bijna 45 procent van de respondenten heeft het personeel ook nog geen enkele vorming of training gekregen rond privacy.
Veel ondernemingen zijn nog niet in actie geschoten omdat ze er van uit gaan dat 25 mei 2018 nog heel ver weg is, zegt PwC. Nochtans mag men de complexiteit en de hoeveelheid van de nieuwe maatregelen in de GDPR absoluut niet onderschatten, zo waarschuwt de consultant.
