Belgische bedrijven zijn niet klaar voor Europese privacywet
Foto: Getty Images/iStockphoto

De Europese privacyverordening treedt vrijdag in werking, maar het gros van de Belgische ondernemingen geeft toe er niet klaar voor te zijn.

Uit enquêtes van Unizo, het Neutraal Syndicaat voor Zelfstandigen en Voka onder hun leden blijkt dat het gros van de Belgische ondernemingen niet klaar is voor de Europese privacyverordening GDPR, ook al hadden ze twee jaar tijd om zich erop voor te bereiden. Slechts 15 procent van meer dan duizend respondenten in een online screening van Unizo zegt gereed te zijn voor de GDPR-wetgeving, die de burger meer slagkracht geeft om zijn ­privacyrechten af te dwingen. 47 procent heeft ‘nog redelijk wat werk’ en 38 procent is ‘nog helemaal niet in orde’.

‘De regelgeving is bijzonder complex’, zegt Danny Van Assche, gedelegeerd bestuurder van Unizo. ‘Er is nog niet op elke vraag een antwoord.’ Hij erkent dat veel ondernemers te laat in actie zijn gekomen. ‘Maar zelfs ondernemers die onmiddellijk in orde wilden zijn, botsten op grenzen, omdat er zoveel onduidelijkheid was.’

Kanon op een mug

Twee maanden geleden bleek uit een enquête van het Neutraal Syndicaat voor Zelfstandigen dat vier op de tien ondernemers de term GDPR niet eens kenden. Dat is intussen sterk verbeterd, zegt voorzitster Christine Mattheeuws, ‘maar de ondernemers zijn er niet klaar voor’. Het Vlaams Netwerk van Ondernemingen komt tot dezelfde conclusie. Uit zijn bevraging blijkt dat slechts 17 procent van de bedrijven volledig in orde denkt te zijn.

‘Het is complex, de materie is multidisciplinair en ondernemers beschouwen de achterliggende gedachte ook niet als een acuut probleem’, zegt gedelegeerd bestuurder Hans Maertens. ‘Ze vinden dat er met een kanon op een mug wordt geschoten en ontdekken nu dat het wel een heel complex kanon is.’

Maertens vergelijkt het met een belastingbrief invullen. ‘Iedereen weet dat de aangifte tegen de zomer ingediend moet worden, en toch beginnen velen er pas op de laatste dag aan.’

Geen heksenjacht

Niet iedereen heeft begrip voor die uitleg. ‘Er zijn wel enkele nieuwe elementen, maar de kern van GDPR zit al twintig jaar verankerd in onze Belgische privacywetgeving’, zegt Jef Ausloos, onderzoeker aan het Centre for IT & IP Law (Citip) aan de KU Leuven. ‘Als het allemaal zo complex is, waarom hebben ze dat twintig jaar geleden dan niet gezegd?’

Nochtans riskeren bedrijven voor inbreuken vanaf vrijdag stevige boetes: die kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse omzet – afhankelijk van welk bedrag het hoogste is. Maar zowel de Privacycommissie, die wordt ­hertimmerd tot Gegevensbeschermings­autoriteit, als de staatssecretaris voor Privacy, Philippe De Backer (Open VLD), stelde al dat bedrijven niet onmiddellijk op de bon zullen worden geslingerd. Ze krijgen respijt, als ze tonen dat ze van goede wil zijn. ‘Het is niet de bedoeling een heksenjacht te ontketenen’, zegt Lotte Van der Stockt, de woordvoerster van De Backer. ‘Die boetes zijn een stok achter de deur en dienen niet om de schatkist te stijven.’