“De tijd van sit back and relax over GDPR is voorbij”. Dat waren de woorden van David Stevens, de kersvers benoemde voorzitter van de Gegevensbeschermingsautoriteit (voorheen Privacy Commissie België). En hij heeft er zin in!
De Gegevensbeschermingsautoriteit België heeft aangekondigd een inhaalbeweging te maken ten opzichte van onze buurlanden, waar de regels wél reeds serieus worden genomen. Zo waren er in Nederland in 2018 21.000 meldingen van datalekken. In België waren er 442. In alle ons omringende landen vonden veelvuldig controles plaats en werden boetes uitgedeeld. Een 200.000 tal zaken zouden momenteel in onderzoek zijn en er werden reeds enkele honderden boetes uitgeschreven. Niet alleen giganten als Google mochten hierbij een (stevige) boete ontvangen, maar vooral kleine- en middelgrote ondernemingen werden geviseerd.
Boetes voor KMO’s
Zo werd in Denemarken een taxibedrijf veroordeeld tot een boete van 160.754 euro voor het bijhouden van telefoonnummers voor een periode van 5 jaar in plaats van de vooropgestelde 2 jaar. Het feit dat de software vroeger wissen niet toeliet, werd niet als een geldige reden aangenomen door de autoriteit. De boete komt overeen met 2,8% van de omzet.
Een vervoersfirma in Duitsland werd veroordeeld tot een boete van 5.000 euro omdat zij geen verwerkersovereenkomst had afgesloten met een verwerker. (Een verwerker is een externe persoon of onderneming die persoonsgegevens verwerkt in opdracht van een onderneming, zoals een IT bedrijf dat de server onderhoudt of een boekhouder).
In Nederland werd TGB-Bank veroordeeld tot een boete van 48.000 euro omdat zij onvoldoende gevolg had gegeven aan een verzoek van een klant om inzage te krijgen in zijn persoonsgegevens.
Online reclame onder druk
In het Verenigd Koninkrijk werden een rits aan ondernemingen veroordeeld voor het versturen van nieuwsbrieven of direct marketing zonder voorafgaandelijk toestemming te verkrijgen. Daarenboven stelt de Britse ICO dat het niet voldoende is om bij aankoop van e-mailadressen contractueel af te dwingen dat de verkoper toestemming heeft verkregen van alle adressen, de koper die deze wenst te gebruiken moet zélf de individuele toestemming kunnen aantonen.
In Frankrijk werd datahandelaar ‘Vectaury’ veroordeeld voor de wijze waarop zij toestemming vragen en voor inbreuken op hun informatieplicht. Zo stelde de Franse CNIL dat het niet volstaat om een ‘accepteer’ knop aan te bieden om toestemming te verkrijgen, zonder bijkomende informatie die uitlegt waarvoor precies toestemming gegeven wordt. Indien een verder keuze-menu voorzien is om specifiek toestemming te verlenen voor bepaalde verwerkingsactiviteiten, mogen deze knoppen nog niet aangevinkt staan.
Wanneer toestemming gevraagd wordt voor direct marketing, moeten alle ondernemingen aan wie de gegevens mogelijks worden doorgegeven uitdrukkelijk opgelijst staan.
Google moest eveneens in Frankrijk een boete ophoesten van 50 miljoen euro doordat haar privacy policy onvoldoende duidelijk was en vereiste dat op meerdere links geklikt moest worden om alle verplicht mee te delen informatie terug te vinden.
Een inbreuk op het "bel me niet"- register werd in het Verenigd Koninkrijk bestraft met een boete van 80.000 pond.
Veiligheidsvoorzieningen
Niet toevallig werden de meeste boetes uitgeschreven wegens gebrekkige veiligheidsvoorzieningen. Zo werden meermaals boetes uitgeschreven voor een gebrek aan toezicht (logging) op personeelsleden en het onnodig toegang verlenen aan personeelsleden tot (veelal gevoelige) persoonsgegevens. Ook het aanwezig zijn van een stevig wachtwoordbeleid en bijkomende veiligheidsverplichtingen als meerfactorauthenticatie werden in rekening gebracht voor het al dan niet uitschrijven van een boete.
Meer informatie over recente boetes en beslissingen kan u hier vinden.
Voor vragen of indien u zich wenst te laten bijstaan door een GDPR-expert, kan u steeds vrijblijvend contact opnemen met Mr. Olivier Sustronck, advocaat en DPO via olivier@misterfranklin.be of per telefoon op +32 486 27 53 05.