Of het departement onderwijs al stappen had ondernomen om de General Data Protection Regulation in voeren, vroeg hij. Nou, ze konden wel een vergaderzaal vrijmaken, kreeg hij te horen. Het toont aan hoe de overheid omspringt met de regelgeving die op 25 mei 2018 officieel van start gaat. Dat is eigenlijk morgen dus. Er staan serieuze boetes op die kunnen oplopen tot twintig miljoen euro, al is het de vraag hoe bij overheidsdiensten vier procent van de jaarlijkse omzet is te berekenen.
Het belangrijkste aspect van de GDPR-directive is ongewijfeld de transparantie. Op elk moment moet aan te tonen zijn hoe en waar data van burgers opgeslagen en verwerkt worden. Elke burger moet ook expliciet toestemming geven indien zijn of haar gegevens gebruikt worden. De burger heeft ook het recht om ‘vergeten te worden’ zodat de data gewist worden. En een datalek moet binnen de 72 uren gemeld worden. Overigens is het de Privacycommissie, zelf een overheidsdienst, die toezicht moet houden op de andere overheidsdiensten.
Het is trouwens de vraag of politiediensten zich ook niet aan de GDPR-richtlijn moeten houden. De recente heisa rond het feit dat een dertigtal mensen op voorhand gescreend waren en geen toelating kregen op Tomorrowland is tekenend. Ze kregen niet te horen waarom ze niet binnen mochten op het grootste DJ-festival van België. Ook hier moet uiteraard transparantie geboden worden. Dat achteraf toch nog enkelen van hen naar het dansfeest mochten, duidt erop dat er ook fouten waren. Maar wat hen aangewreven werd, is ook niet vrijgegeven.
Een gelijkaardig incident kwam midden juni aan het licht toen bleek dat 16.000 Belgen op de zwarte lijst World-Check staan. Dat is een databestand dat door alle grootbanken en zo’n zesduizend bedrijven in 170 landen wordt gebruikt die natrekken of klanten een risico vormen, politiek gevoelig liggen of gelinkt zijn aan terrorisme of criminaliteit. Dat ook hier fouten in staan, werd duidelijk toen ook een Brusselse rechter er onterecht op stond. Ook voetballegende Jean-Marie Pfaff siert die lijst trouwens.
De GDPR-richtlijn is nog helemaal niet of zeker veel te weinig doorgedrongen tot de Belgische kmo’s en kleine zelfstandigen. Hier moet dringend werk van gemaakt worden. Het wordt trouwens tijd dat ook de overheid wakker schiet. Daarvoor kan ik alvast het GDPR-spelletje van ISACA-voorzitter Marc Vael aanbevelen. Een aardig bordspel dat je wegwijs maakt in wat wel of niet kan vanaf 25 mei volgend jaar. Ook zeer geschikt voor het onderwijs trouwens. Een aanrader.
