door Evelien Callewaert
Op 25 mei is het precies één jaar geleden dat de gevreesde GDPR-wetgeving in werking trad. De paniek die er vorig jaar heerste, is vandaag nergens te bespeuren. Is er dan werkelijk niks gebeurd in het afgelopen jaar?
De GDPR, of General Data Protection Regulation, ging van start met een behoorlijk intens voorparcours. Er was dan ook heel wat rond te doen en mochten we het allemaal geloofd hebben, dan had zowaar elke onderneming vandaag al een boete aan haar been. Een jaar later is daar echter weinig van te zien.
De gevolgen zijn dan ook beperkt, en daar heeft de Gegevensbeschermingsautoriteit, afgekort GBA, een groot aandeel in. De GBA kwam er in de plaats van de privacycommissie en kreeg meteen ruimere bevoegdheden, waaronder het afdwingen van de GDPR-regels. De eerste elf maanden had de GBA echter maar weinig slagkracht. Pas eind april 2019 werd een nieuw directiecomité aangesteld, en dat belooft nu eindelijk verandering te brengen.
Voorzitter David Stevens liet inmiddels al weten dat “de tijd van ‘sit back and relax’ over GDPR voorbij is”. Hoe dat dan precies in z’n werk zal gaan, is nog onbekend, maar als we kijken naar onze noorder- en zuiderburen, dan zijn we maar beter goed voorbereid.
Nederland startte in juni 2018 onmiddellijk met specifieke controles. Zo’n 400 overheidsinstellingen werden gecontroleerd op het hebben van een data protection officer (DPO). Instellingen die nog geen DPO hadden aangesteld, kregen onmiddellijk een formele waarschuwing in de bus. In de private sector werd steekproefsgewijs gecontroleerd of er een register van verwerkingsactiviteiten aanwezig was, iets wat voor (bijna) elke onderneming verplicht is. Ondertussen wordt ook nagegaan of bedrijven beschikken over een verwerkersovereenkomst.
Ook Frankrijk is van bij het begin actief gaan controleren. Hun aandacht werd het afgelopen jaar dan ook alleen maar aangescherpt. In 2018 voerde Frankrijk meer dan 300 controles uit en dit bij uiteenlopende bedrijven. Die controles gebeurden niet alleen ter plaatse, maar ook online. Bij websites werd bijvoorbeeld gecontroleerd of er voldoende beveiligingsmaatregelen werden genomen en of ze voldeden aan de informatieplicht. Franse ondernemingen weten dus niet altijd op voorhand dat ze gecontroleerd zullen worden.
11 lidstaten hebben inmiddels boetes uitgeschreven. De grootste boete werd opgelegd door Frankrijk. Google kreeg van hen een boete van zowaar 50.000.000 euro. Maar ook Uber kreeg zowel in Frankrijk, Nederland als in het Verenigd Koninkrijk een boete voor het niet melden van datalekken.
Toch zijn het niet alleen de ‘groten’ die beboet werden. De Nederlandse bank InsingerGilissen kreeg bijvoorbeeld een dwangsom van 48.000 euro voor het laattijdig ingaan op een verzoek tot inzage. Het Franse Optical Center kreeg dan weer een boete van 250.000 euro omwille van een beveiligingslek van hun klantengegevens op hun webshop. Andere boetes werden opgelegd voor het gebruik van persoonsgegevens voor andere doeleinden dan voorzien of voor het gebruik van vingerafdrukken zonder toestemming. Een ziekenhuis in Portugal werd beboet omdat artsen toegang hadden tot alle medische dossiers binnen het ziekenhuis.
Het mag duidelijk zijn dat toezichthoudende autoriteiten dus wel degelijk durven overgaan tot het beboeten van ondernemingen. Bovendien hoeft er niet altijd sprake te zijn van gigantische hacks of datalekken vooraleer er boetes worden uitgeschreven. De sector noch de hoedanigheid van de onderneming speelt dus een rol.
Omdat de GBA nog maar recent werd hervormd, wordt het nog even afwachten welke aandachtspunten er op het programma zullen staan. We mogen echter verwachten dat de focus dezelfde zal zijn als die in onze buurlanden.
De Nederlandse Autoriteit Persoonsgegevens (NAP) zal het komende jaar focussen op overheidsorganen en specifiek op de uitwisseling van persoonsgegevens met én door hen. Ook de beveiliging bij zorginstellingen en hun wettelijke grondslag voor het verwerken van persoonsgegevens zal verscherpte aandacht krijgen. Ten slotte zal ook gefocust worden op niet-gemelde datalekken en datalekken die veroorzaakt werden door bijvoorbeeld een tekort in de beveiliging.
Wie dat vorig jaar nog niet deed, moet nu dus echt werk maken van een GDPR-beleid. Belangrijk hierbij is onder andere het opmaken van een register van verwerkingsactiviteiten. Daarnaast is het aangeraden om ook de beveiliging van de verwerkte persoonsgegevens onder de loep te nemen.
Hulp nodig? Neem dan zeker contact op met onze GDPR-specialisten via cyber@vdl.be. Zij bekijken graag hoe ver u al staat en waar bijgestuurd moet worden.
Evelien Callewaert
Senior Advisor Legal evelien.callewaert@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.