Onlangs publiceerde de Belgische Gegevensbeschermingsautoriteit (GBA) een rapport over de kennis en het begrip van Belgische kmo’s in verband met de Algemene Verordening Gegevensbescherming (AVG). De resultaten zijn toch enigszins verrassend.
De GBA voert op dit moment een studie uit in samenwerking met de universiteiten van Leuven, Brussel en Namen. Het onderzoeksproject heeft tot doel om bewustwording te creëren en kennis te vergroten omtrent de AVG bij kleine en middelgrote ondernemingen in België.
Kennis en begrip
In dit specifieke deelaspect van het onderzoek werd de kennis en het begrip van kmo’s inzake de AVG in kaart gebracht. Daarbij werd ten aanzien van Belgische kmo’s gepolst of ze een voldoende en duidelijk begrip hebben van de bepalingen en begrippen zoals opgenomen in de AVG.
Daarbij werden aan de deelnemende kmo’s verschillende vragen gesteld, enerzijds omtrent de kennis en het begrip van een aantal kernbegrippen uit de wetgeving en anderzijds omtrent de toepassing van de privacybepalingen op concrete casussen.
In totaal vervolledigden 188 respondenten de vragenlijst, deels Nederlandstalig en deels Franstalig. De grootste groep van de deelnemende kmo’s waren ondernemingen met één tot tien voltijdse equivalenten in dienst. Wat bleek nu uit die vragenlijsten?
Vooreerst dat de meeste ondernemingen een goed begrip hebben van wat ‘persoonsgegevens’ zijn en wat ‘verwerkingen’ van persoonsgegevens precies inhouden.
(On)voldoende
Daarentegen blijkt de theoretische en praktische kennis in verband met de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ slechts bij iets meer dan de helft van de kmo’s voldoende. Dit is toch verrassend aangezien die begrippen belangrijke rechtsgevolgen hebben met betrekking tot verplichtingen (bijvoorbeeld. informatie, intern beheer, et cetera), verantwoordelijkheden inzake naleving, mogelijke sancties, enzovoorts. Dat bleek ook uit de vragenlijst: kmo’s schatten hun verplichtingen verkeerd in.
Nog verrassender is dat er een totaal gebrek aan kennis blijkt te zijn over welke informatie dient te worden opgenomen in de wettelijk verplichte privacyverklaringen. Slechts 22 op 114 correspondenten was zich voldoende bewust van de verplichte informatie die daarin moet worden opgenomen. Dat is een heel belangrijke vaststelling, nu informatie en transparantie één van de hoekstenen van de privacyreglementering betreft. Duidelijke en transparante verklaringen zijn dan ook een must.
Ook de kennis omtrent het begrip en de praktische toepassing van de door de AVG ingevoerde gegevensbeschermingseffectbeoordeling (de zogenaamde ‘GEB’) is onvoldoende. Er blijkt dat de meeste kmo’s niet goed weten waarover een dergelijke GEB gaat en wanneer ze een GEB concreet moeten toepassen.
Uit de algemene resultaten van deze ondervraging blijkt dat de kennis van de Belgische kmo’s omtrent de AVG ruimschoots onvoldoende is. Daarbij moet wel opgemerkt worden dat sommige vragen niet geheel eenduidig waren en dat ze zelfs voor ondergetekende op bepaalde momenten voor interpretatie vatbaar waren (je bent advocaat of het bent het niet).
Nochtans is duidelijk dat er nog werk aan de winkel is voor vele ondernemingen om de nodige maatregelen te nemen teneinde naleving met de privacyreglementering te verzekeren. Het stijgend aantal individuele klachten en onderzoeken dat door de GBA wordt uitgevoerd (hetgeen ook blijkt uit haar laatste jaarrapport), alsook de stijgende sancties (in frequentie en omvang) als een gevolg van dergelijke klachten en onderzoeken, tonen aan dat een grondig nazicht van uw bestaande privacybeleid binnen de organisatie (zowel intern als extern) van groot belang blijft!
Als je jouw kennis wil testen, download dan het rapport van de GBA en vervolledig de vragenlijst in bijlage van dat rapport. De antwoorden zijn opgenomen doorheen het rapport zelf.
