door Evelien Callewaert
Ondertussen ligt 25 mei 2018 al zo’n drie maanden achter ons. Het lijkt ons dan ook tijd om even te evalueren of de gevreesde GDPR-boetes effectief waarheid zijn geworden. Of kunnen we nog wat langer op onze twee oren slapen? En hoe zit het eigenlijk met onze buurlanden? Tijd voor een terugblik.
Zoals u wellicht al weet, kent de GDPR forse boetebepalingen die kunnen oplopen tot maximum 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Maar worden die boetes nu eigenlijk echt opgelegd? Van de boetes hebben we in België voorlopig nog geen last, maar daar kan natuurlijk wél verandering in komen. De Gegevensbeschermingsautoriteit (GBA) is namelijk nog in volle hervorming. Bovendien werd de Belgische kaderwet nog maar recent op 5 september gepubliceerd in het Belgisch Staatsblad. Het is dan ook niet onwaarschijnlijk dat het boetesysteem nog drastisch kan veranderen. Al was het maar om een aantal voorbeelden te stellen, iets wat we ook al bij onze buurlanden zagen.
Wanneer we de grens oversteken, zien we dat Frankrijk niet min is met het opleggen van boetes. De voorbije zomer werden er dan ook een aantal bedrijven zwaar beboet. Een van die bedrijven kreeg een boete van maar liefst 250.000 euro opgelegd voor securityproblemen met een webshop. Een andere organisatie werd beboet omdat ze persoonsgegevens voor andere doeleinden gebruikte dan oorspronkelijk vooropgesteld werd. Bovendien ging het hier lang niet altijd om grote bedrijven. Ook een Franse vzw werd in juni beboet voor 75.000 euro.
Bij onze noorderburen concentreerde men zich dan weer voornamelijk op het waarschuwen voor de aanstelling van een verplichte DPO. Vooral overheidsorganisaties werden hier geviseerd, maar ook de medische sector bleef niet ongedeerd. Bovendien wordt in Nederland sinds augustus 2018 overgegaan tot steekproeven in verband met de aanwezigheid van het verwerkingsregister en dat in heel wat sectoren, denk maar aan industrie en metaal, bouw, handel, horeca, reisorganisaties, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. Het verwerkingsdocument is volgens ons nog steeds hét basisdocument voor het in orde brengen van de GDPR.
Verder hebben ook het Verenigd Koninkrijk en Duitsland al geruime tijd een stevige reputatie voor het strikt handhaven van regelgevingen. En dat geldt ook voor de GDPR. Heel wat boetes werden dan ook zonder pardon uitgedeeld. Het gaat hier om inbreuken zoals hackings die niet gerapporteerd werden aan controle-instanties, het verkopen van data aan derden, het versturen van mails aan verkeerde bestemmelingen en spammails.
Bovenstaande boetes werden grotendeels opgelegd voor feiten die dateren van voor de inwerkingtreding van de GDPR. De andere boetes worden begin 2019 verwacht en kunnen mogelijk nog hoger en meer frequent oplopen.
Dat angst een slechte raadgever is, hoeven we u niet meer te vertellen. Het is dan ook niet nodig om bang te zijn voor de GDPR, maar het is wél belangrijk dat u de regelgeving niet uit het oog verliest. Gelukkig hinkt België nog een beetje achterop met het sanctioneren van inbreuken, maar het was dan ook de bedoeling om in 2018 vooral te sensibiliseren en het controleorgaan verder uit te bouwen. Er mag daarom verwacht worden dat er in het komende jaar strenger zal worden opgetreden tegen bedrijven die de regels aan hun laars lappen.
We gaan er daarom vanuit dat er in 2019 voornamelijk gereageerd zal worden op klachten van derden (zoals concurrenten, ontevreden klanten en (ex-)personeel) en op bedrijven die gehackt worden. Mocht blijken dat u als bedrijf weinig of geen inspanning hebt geleverd en u niet over de juiste documenten, procedures en/of beveiliging beschikt, dan zijn boetes een mogelijk gevolg. Naast boetes zijn er uiteraard ook andere risico’s aan de GDPR verbonden, denk maar aan het verplicht stopzetten van de activiteiten, dataverlies door hackings of reputatieverlies.
Ons team van specialisten helpt u graag om de hoogstnoodzakelijke en meest dringende elementen in orde te brengen. Zo moet u op juridisch vlak onder andere beschikken over een register van verwerkingsactiviteiten, een procedure in geval van datalekken, procedures voor het omgaan met de rechten van personen en een privacyverklaring waarmee u uw GDPR-beleid transparant communiceert naar de buitenwereld. Op IT-vlak is het dan weer belangrijk om een afdoend beveiligingsbeleid uit te werken, iets waar onze specialisten u graag bij ondersteunen. Daarnaast raden wij u aan om een (externe) data protection officer (dpo) aan te stellen. Hoewel dit niet verplicht is, is de GDPR een verhaal dat continu moet worden opgevolgd en bewaakt.
Nog niet overtuigd van de GDPR of ziet u op tegen de voorbereiding? Probeer de GDPR dan als een opportuniteit te beschouwen om uw processen en het omgaan met gegevens efficiënter te maken. Een audit door ons multidisciplinair team kan u zowel nu als in de toekomst geruststellen en de nodige aanbevelingen leveren.
Evelien Callewaert
Senior Advisor Legal evelien.callewaert@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.