Verslag vergadering Commissie voor Economie, Werk, Sociale Economie, Innovatie en Wetenschapsbeleid
Vraag om uitleg over GDPR (General Data Protection Regulation) en steuninstrumenten ter zake voor kmo's
Verslag
Mevrouw Segers heeft het woord.
Voorzitter, op 28 mei 2016 is een nieuwe Europese richtlijn in werking getreden die we kennen als de General Data Protection Regulation (GDPR) of, in het Nederlands, als de Algemene Verordening Gegevensbescherming (AVG). Van organisaties wordt verwacht dat ze hun bedrijfsvoering tegen 25 mei 2018 in overeenstemming brengen met de AVG.
Deze verordening biedt de nationale privacyautoriteiten, zoals de Commissie voor de bescherming van de persoonlijke levenssfeer, de macht om inbreuken daadwerkelijk te beboeten. Die boetes kunnen behoorlijk fors zijn. Ze kunnen oplopen tot 4 procent van de jaarlijkse wereldwijde omzet van een onderneming, met een maximum van 20 miljoen euro.
Het is dan ook geen verrassing dat heel wat consultancybureaus de afgelopen jaren het licht hebben gezien en de bedrijven willen begeleiden bij de afstemming van hun bedrijfsvoering op de verstrengde privacywetgeving. Voor kleine ondernemers is het inhuren van een externe specialist financieel vaak niet haalbaar. Bovendien blijken veel kleine bedrijfsvoerders niet op de hoogte van deze nieuwe Europese richtlijn. Overigens houdt de richtlijn ook knelpunten in voor veel grote, kapitaalkrachtige bedrijven. Ik verwijs hiervoor naar de berichtgeving in De Morgen op 7 september 2017.
Minister, welke initiatieven ontplooien het Departement Werk en Sociale Economie en het Departement Economie, Wetenschap en Innovatie om bedrijven, in het bijzonder de kleine ondernemingen en kmo’s, te informeren over de nieuwe AVG? Laat u dit enkel over aan middenveldorganisaties als Voka of de Unie van Zelfstandige Ondernemers (UNIZO)? Voka organiseert hierover infodagen. Kunnen zaakvoerders een beroep doen op de expertise van de departementen om hun bedrijfsvoering in overeenstemming met de richtlijn te brengen? Hebt u overleg gepleegd met het middenveld over deze specifieke problematiek? Welke dringende knelpunten heeft het middenveld gedefinieerd? Op welke wijze wilt u die knelpunten aanpakken?
Mevrouw Vanwesenbeeck heeft het woord.
Voorzitter, aangezien we ze allemaal al kennen, zal ik de inleiding niet herhalen. Wat de problematiek van de GDPR betreft, luidde de eerste boodschap van de Europese Commissie dat de kmo’s en kleine handelaars zich niet ongerust moesten maken. De richtlijn geldt vooral voor grote bedrijven. Zij zullen worden aangepakt. Het probleem is echter dat een groot bedrijf dat aan de GDPR moet beantwoorden, eigenlijk van zijn onderleveranciers moet vragen hier ook aan te beantwoorden. Dat is een hele keten die waterdicht moet zijn. Daar zit het probleem.
We zijn ongerust. Een jaar is voorbij en plots begint bij de kmo’s stilaan een minimale bewustwording te ontstaan. Het is ook voor hen van toepassing. Ik heb het dan niet zozeer over de slager – die heeft ook zijn werk –, maar het gaat over andere bedrijven die persoonsgegevens van grote bedrijven, zoals banken of energiebedrijven, verwerken. Het mijne valt hier trouwens ook onder. Die bedrijven moeten ervoor zorgen dat ze in orde zijn.
Zoals net is vermeld, staan allerlei advocatenbureaus en consultancybureaus paraat om te melden dat ze als data protection officer (DPO) zijn gecertificeerd en dat ze kunnen helpen. De kostprijs ligt tussen 8000 euro en 15.000 euro. Als het om persoonsgegevens gaat, is dat voor een kmo zeer veel geld.
Een ander punt betreft de termijnen. Die mensen zijn nu een beetje overwerkt. Het duurt nu ongeveer zes maanden voor ze met dat proces klaar kunnen zijn. Dit betekent dat we snel aan 25 mei 2018 zullen zitten.
Minister, ik heb gemerkt dat een aantal middenveldorganisaties met betrekking tot de GDPR tours organiseren. Dit is nog maar pas gestart. UNIZO heeft gisteren nog een bericht verstuurd. U hebt het allicht gelezen. Volgens UNIZO kunnen we honderd kleine ondernemers vragen of ze de GDPR kennen en zullen we er met moeite twee vinden. Het is dan ook alle hens aan dek.
Bent u zich bewust van deze problematiek? U hebt al veel geknikt, dus denk ik dat dit het geval is. Hebt u al contact gehad met de Federale Regering, in dit geval met staatssecretaris De Backer?
Minister Muyters heeft het woord.
Voorzitter, ik ben me uiteraard bewust van de GDPR. Ik heb vernomen dat de implementatie niet evident is. Een grondige voorbereiding is noodzakelijk voor meer bedrijven dan oorspronkelijk was voorzien.
Ik heb geen contact opgenomen met de federale overheid. Dit komt in deze commissie elke week ter sprake. Indien ik elke keer contact met de federale overheid zou opnemen als me dat hier wordt gevraagd, zou ik eigenlijk bijna elke dag contact met de federale overheid moeten opnemen. Ik vind dat er een bevoegdheidsverdeling is. De federale overheid doet wat ze moet doen. Ook daar zijn er volksvertegenwoordigers die een minister kunnen bevragen. Ik doe de zaken waarvoor ik bevoegd ben. Ik zal hier zeker op ingaan, maar ik ben ervan overtuigd dat de federale overheid de problematiek voldoende kent.
Vanuit het middenveld werd heel duidelijk aan mij specifiek daarover geen overleg gevraagd. Ik vind dat eigenlijk logisch omdat men weet dat de normerende bevoegdheid een federale bevoegdheid is. Als men problemen heeft met die wetgeving, lijkt het mij duidelijk dat men zich richt naar het federale niveau.
Vanuit Vlaanderen heb ik wel een instrumentarium om faciliterend en ondersteunend op te treden. Tot nu toe is het logisch dat het middenveld de knelpunten aan mijn federale collega overmaakt en aankaart.
Binnen mijn beleidsveld is het inderdaad zo dat wij afspraken hebben met onze partners. U weet misschien nog dat wij een grote ‘mastercall’ hebben gedaan. Ik vind dat wij als overheid niet alles moeten doen. De afspraak is dat Voka en UNIZO beter geplaatst zijn om dergelijke dingen over te maken aan de bedrijfswereld. Ze kunnen de informatie krijgen die wij hebben om dat te doen en ze doen dat ook allebei. U hebt zelf het voorbeeld van Voka aangehaald, maar UNIZO heeft van deze GDPR ook een belangrijke materie gemaakt voor hun komend werkjaar, zo is mij verzekerd.
Ten slotte wil ik erop wijzen dat er binnen mijn bevoegdheden nog altijd de kmo-portefeuille is om die kost, waarover u spreekt, collega Vanwesenbeeck, te verlichten. Je kunt een beroep doen op externe consultants om uw kwaliteit te verbeteren. Dit valt hier compleet onder. Een beroep doen op de kmo-portefeuille om die zware kostprijs een stukje te verlichten, is zeker een mogelijkheid binnen mijn beleidsdomein.
Mevrouw Segers heeft het woord.
Minister, dank u wel. Bevoegdheidsverdeling, oké, maar ik denk dat in deze materie er toch wel een heel grondige impact zal zijn, trouwens niet alleen op de bedrijfswereld. Mevrouw Vanwesenbeeck, de wetgeving geldt gewoon voor alle organisaties, zelfs voor cultuurorganisaties en sociaal-culturele verenigingen. Die geldt voor iedereen. We moeten de vraag eigenlijk aan alle ministers stellen. Ik denk dat dit zo belangrijk is dat intens overleg met de federale collega's zeker nodig is.
Ik denk dat we het niet alleen mogen overlaten aan Voka en UNIZO. Afgelopen dinsdag was er in het federaal parlement een hoorzitting rond nieuwe wetgeving. Daar heeft UNIZO zelf een noodkreet geslaakt. Ze zeggen dat heel veel ondernemers er nog altijd niet over hebben gehoord en niet weten hoe het aan te pakken. Ze weten ook niet precies waar ze terechtkunnen. Wat betreft de problematiek van de certificering, is er vandaag een wildgroei aan consultants en advocaten die zeggen dat ze specialist ‘data protection officer’ zijn. Wie reikt die certificering uit? Er is een wildgroei waarin absoluut klaarheid moet worden geschapen zodat het de echte specialisten zijn die zich ‘data protection officer’ kunnen noemen.
Mevrouw Vanwesenbeeck heeft het woord.
Ik heb daar niet zo heel veel aan toe te voegen. Heel de problematiek van de certificering hoort eerder bij de Privacycommissie, die ook te traag gaat. Er bestaat niet zoiets als een certificaat van ‘GDPR compliancy’. Dat is ook een probleem. Je kunt als bedrijf wel moeite doen om je in orde te stellen, maar je weet pas of je het bent op het moment dat je een inspectie krijgt.
Minister, in het kader van uw beleid ten aanzien van het versterken van ondernemerschap, waar ik 100 procent achter staan, wil ik het volgende nog eens uitdrukkelijk vragen. Er is echt een problematiek. Die kmo’s lopen een risico voor 2 tot 4 procent van hun omzet. Als je bijvoorbeeld dataverwerker bent van een groot bedrijf dan heb je ook een financiële verantwoordelijkheid. Als er een datalek is van een klant en dat is bijvoorbeeld een grootbank, dan kan die grootbank tegen jou als kmo zeggen dat je de helft van de boete mee moet betalen bijvoorbeeld. Er is dus een enorm risico. Ik kom terug op uw beleid om ondernemerschap te versterken om – ik weet dat het een federale materie is – alsnog toch mee te sensibiliseren vanuit uw departement.
Mevrouw Christiaens heeft het woord.
Minister, ik kan de bekommernis van de collega's die de terechte vraag hebben gesteld, zeker ondersteunen. Ik hoor ook vanuit Voka en UNIZO de vragen en de signalen dat zij niet voldoende ondernemers kunnen bereiken. Ze hebben het natuurlijk pas opgestart. Bij de eerste sessies geven ze aan dat ze maar een paar procenten van de potentiële ondernemers hebben kunnen bereiken. Ze hebben de bekommernis dat de kmo's en de ondernemers niet allemaal op de hoogte zijn van wat het precies allemaal inhoudt.
Aan de andere kant moet er toch wel aandacht worden geschonken aan het feit dat het advies en de begeleiding die die kmo's zullen moeten krijgen om zich in orde te kunnen stellen, op maat van de kmo's moet zijn. Ik vrees er een beetje voor dat, indien het te veel onder de radar blijft en wanneer de deadline meer in zicht komt, kmo's misschien te laat op de hoogte zullen zijn van de dingen die ze moeten doen en dat ze dus veel te dure adviezen zullen inwinnen en veel te dure consultants zullen inhuren omdat ze onder druk staan, terwijl dat allemaal niet nodig is. Dat is een bezorgdheid. Kmo's en kleine ondernemingen moeten zich in orde stellen maar hebben natuurlijk niet dezelfde noden als grote internationale bedrijven. Hoe dichter men bij de deadline komt, hoe meer zij misschien nodeloos advies gaan inwinnen en te hoge kosten gaan maken.
Ik deel dus de bekommernis of de vraag die mevrouw Vanwesenbeeck op het laatste stelde, dat men vanuit uw bevoegdheid, minister, zou inzetten op sensibilisering.
Minister Muyters heeft het woord.
Mevrouw Christiaens, als Voka en UNIZO hun eigen leden niet zouden kunnen informeren, dan begrijp ik het niet meer, hoor. Als zíj niet de weg hebben naar hun eigen leden … Het zijn ledenorganisaties. Ik weet dat er een problematiek is. Maar Voka en UNIZO hebben mij niet gevraagd: ‘Doen jullie die sensibilisering, want wij kunnen het niet.’ Die signalen heb ik níet gekregen.
Maar ik ben het wel helemaal met mevrouw Vanwesenbeeck eens om te zeggen dat ik aan mijn departement zal vragen dat zij die problematiek aankaarten bij de contacten die ze hebben met het bedrijfsleven, dat ze hun zeggen dat ze daarnaar moeten kijken en ook informatie moeten inwinnen bij de federale instanties, zodat ze die kunnen laten doorstromen. Dat zal ik zeker doen.
Maar Voka en UNIZO doen dat goed, hoor. Ze weten hoe ze hun leden moeten bereiken, beter dan onze overheid dat kan. En gelukkig maar. Het zou nogal erg zijn dat een werkgeversorganisatie als Voka of UNIZO moet zeggen: ‘Ik weet niet hoe ik mijn leden moet bereiken.’ Ze hebben hun ledenbladen, hun internet en al de rest. Ik vind dat u daar een raar signaal geeft, tenzij ik het verkeerd begrepen heb.
In elk geval ga ik wel in op de vraag van mevrouw Vanwesenbeeck om met het departement het signaal te geven in verband met de contacten die zij met het bedrijfsleven hebben, dat zij ook weten waar ze de bedrijven naartoe moeten sturen. Daarop ga ik zeker in.
Mevrouw Segers heeft het woord.
Ik herhaal kort onze oproep. Ik hoor eigenlijk overal hetzelfde.
Een, ik denk dat er op het federaal niveau wel nauw overleg nodig zal zijn tussen dit en volgend jaar.
Twee, ik hoor toch van alle collega’s de oproep om vanuit uw bevoegdheid waar het kan maximaal te ondersteunen. Want de noodkreet die afgelopen dinsdag door UNIZO in de Kamer is geuit, was wel duidelijk: ‘We kunnen het wel aan, maar het is veel en het is nog niet genoeg bekend.’ Vanuit uw verantwoordelijkheid als minister denk ik dat u toch met hen en uw departement zult moeten zien hoe er kan worden ondersteund.
Mevrouw Vanwesenbeeck heeft het woord.
Ik denk inderdaad dat de problematiek niet bij de middenveldorganisaties zit. Ze slaan u er bijna mee rond de oren. Je wordt als ondernemer bijna drie keer per week uitgenodigd op van die sessies. Die doen dus echt wel hun best.
Maar wat is het probleem? Elke ondernemer is vertrouwd met een soort van jargon eigen aan zijn activiteit. En ineens krijg je e-mails en uitnodigingen rond GDPR. Heel wat ondernemers pikken dat gewoon niet op. Tussen de 150 e-mails die je per week of per dag krijgt, pik je dat gewoon niet op. Misschien is het woord GDPR verkeerd gekozen. Het wordt gewoon niet opgepikt. En daar zit de problematiek.
Dat is ook de reden, minister, waarom we ons nu tot u richten en uw hulp vragen om alsnog de Vlaamse ondernemers mee wakker te schudden. Want het is echt wel nodig.
De vragen om uitleg zijn afgehandeld.