GDPR na 1 jaar: rustig in België, boetes in buurlanden

GDPR is ongetwijfeld het buzz-woord van het voorbije jaar. Inmiddels zijn er elf maanden verstreken sinds de inwerkingtreding van de GDPR en is het nuttig even stil te staan bij de gevolgen van de GDPR in de praktijk.

Heeft de GDPR particulieren nog onverschilliger gemaakt of eerder bewuster? Is de GDPR voor ondernemingen inderdaad een zoveelste administratieve verplichting zonder gevolg? Of is de GDPR daarentegen een opportuniteit, een kans voor betere communicatie met de consument of een stimulans voor een andere, betere marketingstrategie? Hoe zijn de autoriteiten in Europa omgegaan met het afdwingen van de GDPR?

De GDPR in België na 25 mei 2018

Sinds de inwerkingtreding van de GDPR is er geen sprake van een heksenjacht. Dit is niet echt een verrassing vermits in vele landen de nationale toezichthouder zelf niet voldoende voorbereid was op de komst van de GDPR. Zo werd de implementatie van (bepaalde aspecten van) de GDPR in België slechts voorzien in de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. De Belgische Gegevensbeschermingsautoriteit heeft ook duidelijk gekozen voor de zachte aanpak, waarbij meermaals werd aangekondigd dat er bij controles eerst waarschuwingen zouden gegeven worden en dat pas na meerdere waarschuwingen boetes zouden worden opgelegd. Voor zover bekend heeft de Gegevensbeschermingsautoriteit nog geen controles uitgevoerd.

 

Zijn er buiten België controles uitgevoerd?

In België is er aldus vooralsnog geen sprake van actieve opvolging of controle. In sommige andere landen is dat echter wel het geval:

  • Nederland heeft met de Autoriteit Persoonsgegevens (net als het Verenigd Koninkrijk met de ICO en Frankrijk met de CNIL) een nationale toezichthouder die actiever is als haar zusterorganisaties in andere Europese landen. In een eerste beweging is bij ruim 400 overheidsorganisaties gecontroleerd of zij een Functionaris voor Gegevensbescherming (FG) hadden aangesteld. Aangezien dit niet het geval was, hebben ze een waarschuwing gekregen en een deadline om aan de verplichting te voldoen. Daarna volgen eventueel boetes. Alle betrokken instanties hebben intussen een FG aangesteld.Sinds juli 2018 zijn er ook steekproefsgewijs controles opgestart in tien sectoren rond de aanwezigheid van een verwerkingsregister. Daarnaast voert de Autoriteit Persoonsgegevens sinds augustus 2018 ook controles uit in ziekenhuizen en bij zorgverleners op de aanwezigheid van een verplichte FG.
  • Ook de nationale toezichthouder in Frankrijk, de CNIL, is actief op het vlak van controles en handhaving van de privacyregelgeving. Net na 25 mei 2018 is zij gestart met steekproeven in verschillende sectoren.
  • In het Verenigd Koninkrijk is de ICO een van de meer actieve toezichthouders en zijn er sinds de inwerkingtreding van de GDPR al meerdere controles geweest, in verschillende sectoren en bij ondernemingen van verschillende groottes.

 

Zijn er al boetes opgelegd?

Eén van de stokpaardjes van de GDPR is de mogelijkheid om boetes op te leggen en dat is ook al gebeurd. Sinds zijn inwerkingtreding zijn er tot nu toe in totaal 91 boetes uitgedeeld.

  • In Nederland heeft de Autoriteit Persoonsgegevens op 9 augustus 2018 van een bankinstelling een dwangsom van 48.000 EUR ingevorderd nadat het veel te laat het recht op inzage had ingewilligd van één van haar klanten. De Nederlandse Nationale politie kreeg een boete opgelegd van 40.000 EUR omdat het onvoldoende maatregelen had getroffen om een aantal grote beveiligingsproblemen op te lossen. In november 2018 heeft de Autoriteit Persoonsgegevens een boete van 600.000 EUR opgelegd aan Uber, omdat het bedrijf de Autoriteit en de betrokkenen niet binnen de verplichte termijn van 72 uur na het ontdekken van een datalek had geïnformeerd. Door het datalek kregen onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs.
  • In het Verenigd Koninkrijk heeft de ICO op 8 oktober 2018 een boete van liefst 120.000 pond opgelegd aan Heathrow Airport nadat gevoelige gegevens gelekt werden door een achtergelaten USB-stick, gevonden door een toevallige passant. Heathrow Airport kon van geluk spreken, aangezien deze zaak nog onder de oude Data Protection Act van 1998 werd behandeld met een lagere geldboete dan in het nieuwe systeem. Ook Facebook mag van geluk spreken: Facebook kreeg een boete van 500.000 pond, het maximumbedrag onder de oude wetgeving, voor verschillende inbreuken op de Data Protection Act. Onder de GDPR mag tot 4 procent van de omzet aangerekend worden. Facebook zou nu tot 1,4 miljard EUR boete kunnen krijgen aangezien haar jaaromzet in 2017 maar liefst 35 miljard EUR betrof.
  • In Frankrijk heeft de CNIL op 21 januari 2019 Google veroordeeld tot een recordboete van 50 miljoen EUR, voor het verwerken van persoonsgegevens voor marketingdoeleinden zonder geldige toestemming. Dit is de hoogste boete die tot nu toe is opgelegd onder de GDPR. Daarnaast heeft de CNIL ook enkele boetes opgelegd aan ondernemingen die kampten met beveiligingsproblemen. Zo kreeg een online webshop voor brillen een boete van 250.000 EUR wegens herhaaldelijke veiligheidsproblemen met haar webshop en ontving een instantie voor de voorziening van sociale woningen te Rennes een boete van 30.000 EUR wegens het gebruik van persoonsgegevens voor andere doeleinden dan voorzien.
  • In Oostenrijk hebben de autoriteiten een boete opgelegd van 4.800 EUR aan een winkel waarvan de beveiligingscamera’s te veel beelden opnamen van toevallige passanten.
  • In Duitsland heeft de LfDI van de deelstaat Baden-Württemberg op 21 augustus 2018 een eerste boete van 20.000 EUR opgelegd aan Knuddels, het grootste online chatplatform van Duitsland, omdat het e-mailadressen en wachtwoorden van de gebruikers ongecodeerd op de server had opgeslagen.

Vele andere nationale autoriteiten zijn, net als de Belgische, op dit ogenblik nog niet in actie geschoten en hebben nog geen controles gepland. Bovenstaande voorbeelden tonen echter duidelijk aan dat dit een kwestie van tijd is en dat de autoriteiten ook streng zullen zijn voor diegenen die slordig omspringen met persoonsgegevens of die hardleers zijn.

 

Klachten

Naast de controles door de nationale toezichthouders kunnen betrokkenen ook een klacht indienen bij de nationale toezichthouders. De Europese tendens verschilt ook op dit vlak van land tot land. Onderstaande tabel maakt deze verschillen zeer duidelijk:

Aantal klachten van betrokkenen (25 mei 2018 – 28 januari 2019):

GDPR klachten

Het grootste risico komt tenslotte mogelijk vanuit de hoek van de eigen partners en klanten, die mogelijk zullen vragen of uw onderneming GDPR-conform is, en zoniet, mogelijk afzien van een samenwerking.

 

Heeft de GDPR al iets veranderd in België?

Niettegenstaande de Belgische Gegevensbeschermingsautoriteit nog geen boetes heeft uitgevaardigd lijkt het erop dat de GDPR op korte termijn toch al effect heeft. De nieuwe regels zijn voor vele KMO’s een aanzet om bewuster bezig te zijn met de verwerking van persoonsgegevens. Er is tijd voor de opmaak van een verwerkingsregister, waardoor vaak meer persoonsgegevens zijn ontdekt dan initieel verwacht.  Nieuwe privacy policies zijn opgesteld met aandacht voor de specifieke doeleinden voor verwerking van persoonsgegevens.  In de relatie verwerkingsverantwoordelijke-verwerker zijn verwerkingsovereenkomsten opgesteld die een inzicht hebben gegeven over de hoeveelheid persoonsgegevens die worden uitgewisseld en verwerkt.

Sommige ondernemingen hebben hun veiligheidsrichtlijnen onder de loep genomen om ervoor te zorgen dat de verzamelde persoonsgegevens niet in verkeerde handen terecht kunnen komen. De boetes die in het buitenland zijn opgelegd als gevolg van datalekken tonen aan dat dit zeker een sleutelelement is.

Voor de particuliere EU-burgers is er meer duidelijkheid gecreëerd en hun rechten zijn duidelijker afgelijnd alsook uitgebreid: persoonsgegevens kunnen worden ingekeken, aangepast en klachten kunnen worden ingediend.

De GDPR is voor veel ondernemingen een stimulans om hun marketingstrategie aan te passen. Persoonlijke voorkeuren van de klant, de aankoopgeschiedenis van de klant, een betere en relevantere relatie met de klant maken dat persoonsgegevens centraal staan.

Persoonsgegevens zijn het nieuwe goud, op voorwaarde weliswaar er zorgvuldig mee om te gaan, met respect voor de nieuwe regelgeving. Het risico op reputatieschade wegens onterecht gebruik is immers reëel.

 

Actie?

Vele ondernemingen hebben aanvankelijk een eerder afwachtende houding aangenomen t.a.v. de GDPR. Steeds meer ondernemingen nemen nu toch de nodige maatregelen om GDPR-conform te worden en zullen dit ook meer en meer eisen van hun partners en klanten. Het blijft voor elke onderneming noodzakelijk om zich zo snel mogelijk met de GPDR in orde te stellen. Vroeg of laat zal elke onderneming sowieso aan de slag moeten.

 

Hoe kan u te werk gaan t.a.v. uw lezers?

De bescherming van persoonsgegevens is niet enkel een kwestie van het naleven van de GDPR maar ook en vooral een kwestie van het creëren van een vertrouwensband met uw partners en uw lezers. Persoonsgegevens die correct worden verzameld en verwerkt zijn een niet te onderschatten toegevoegde waarde voor uitgevers. Lezers zullen zich meer en meer bewust worden van de waarde van hun persoonsgegevens.  De toekomst voorspelt dat de financiële waarde ervan verschuift naar de consument.  De relatie met die consument vrijwaren is bijgevolg van groot belang.  Hetzelfde geldt voor de relatie met uw partners.  Het voeren van een transparant GDPR-beleid zal hiertoe bijdragen o.a. via diverse beleidsdocumenten, het verwerkingsregister, de verwerkingsovereenkomsten, het correct omgaan met datalekken, etc.

Heb je nog vragen over GDPR, neem dan gerust contact op met onze legal advisor Clément Chaumont.

Dit artikel kwam tot stand in samenwerking met Willem-Jan Cosemans van KOAN Law Firm.