De Privacycommissie, die vanaf mei 2018 instaat voor de controle op de naleving van de nieuwe privacyregels, zal geen heksenjacht op de vrije beroeper organiseren.” Dat zegt Willem Debeuckelaere, huidig voorzitter van de Vlaamse en Nationale Privacycommissie. Dat betekent niet dat vrije beroepers zich niet in regel moeten stellen.
Want ook al wordt het geen heksenjacht, controles zijn zeker mogelijk.
Vanaf 25 mei 2018 moet elke onderneming in Europa voldoen aan de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Deze Verordening legt nieuwe en meer uitgebreide wettelijke verplichtingen rond privacy op die ondernemingen moeten naleven. Die gelden ook voor vrije beroepen. “Het grote voordeel van de GDPR is dat je het heft in eigen handen kan nemen”, zegt Debeuckelaere. “Elke vrije beroeper moet nagaan wat de risico’s zijn, voor zichzelf en de patiënt of cliënt. Veel hangt af binnen welke context je de persoonlijke gegevens gebruikt. Als je de persoonsgegevens in de normale uitoefening van je job verwerkt en het normale verwachtingspatroon volgt, dan is er geen probleem. Wie echter met gevoelige gegevens werkt, zoals gezondheidsgegevens of gegevens over seksuele geaardheid, zal heel wat meer beveiliging moeten voorzien. Je mag de persoonsgegevens maar bewaren zo lang je die nodig hebt.”
Wie in overtreding is, krijgt de nodige tijd om zich in orde te stellen
In ons land wordt de Privacycommissie bevoegd om controles uit te voeren op de naleving van de GDPR. Ook vrije beroepers kunnen zich mogelijk aan aangekondigde of onaangekondigde controles verwachten, zelfs van op afstand. “Als we je controleren, dan moet je kunnen verantwoorden welke maatregelen je genomen hebt”, zegt Debeuckelaere. “Wie in overtreding is, zal in het begin de nodige tijd krijgen om te kunnen corrigeren en bij te stellen. Maar zorg dan dat je met alles in orde bent. Want als we na een paar maanden nog altijd vaststellen dat de regels met voeten getreden worden, dan leggen we boetes op.”
De boete bedraagt maximaal 4 procent van de jaarlijkse omzet. Door het beperkte personeelsbestand van om en bij de 60 werknemers kan de Privacycommissie echter niet iedereen zomaar willekeurig gaan controleren. “We zijn niet van plan om blindelings boetes te gaan uitschrijven. Er moet altijd wel een concrete aanleiding zijn om tot een controle over te gaan. We gaan pas controleren als er zich een serieus incident heeft voorgedaan. Meestal gebeurt dat als er ook sprake is van een strafbaar feit, zoals misbruik van vertrouwen, hacking, valsheid in geschrifte, of schending van het beroepsgeheim. Dan treedt meestal ook de correctionele rechtbank in actie.”
