Infographic ‘1 jaar GDPR in België’
Publicaties
21 mei 2019
Op 25 mei 2018 trad de General Data Protection Regulation – a.k.a. de GDPR – in werking. Deze Europese verordening luidde een nieuw tijdperk in voor de bescherming van onze persoonsgegevens, en dus ook onze privacy. Elke organisatie of (overheids)instantie die persoonsgegevens verwerkt, opslaat of doorgeeft, moet sindsdien aan strengere eisen voldoen. En het is de Europese wetgever en de toezichthouders menens. Het niet-naleven of negeren van die eisen kan namelijk grote gevolgen hebben, zoals boetes die oplopen tot 4% van de wereldwijde omzet…
De aanloop naar (G)D(PR)-Day
Hoewel de startdatum van de GDPR ruimschoots op voorhand werd aangekondigd en er een implementatieperiode van 2 jaar voorzien was, brachten de nieuwe privacyregels een schokgolf door het bedrijfsleven. Want elk bedrijf is wel degelijk getroffen door de GDPR, al varieert de mate waarin natuurlijk per onderneming en sector. Alleen al het bijhouden van bv. personeelsgegevens, een klantenbestand of een contactenlijst van leveranciers heeft implicaties. Bovendien gaat het niet enkel om Europese bedrijven, maar moeten wereldwijd ondernemingen of organisaties die gegevens van Europeanen verwerken, de GDPR naleven.
De eerder afwachtende houding van vele bedrijven sloeg naarmate de deadline van 25 mei dichterbij kwam om in paniek. Wat met subscriberslijsten en prospectiegegevens? Wat houdt een verwerkersovereenkomst in? Is mijn bedrijf controller of processor en wat betekent dit allemaal? Ook de dreigementen van bepaalde grote spelers om de contracten stop te zetten indien ze de naleving van de privacyregels niet konden aantonen, maakten vele bedrijven nerveus.
Gevolg: gespecialiseerde advocaten en consultants werden massaal onder de arm genomen. Ook ons team Privacy & IT bij De Groote – De Man navigeerde vele bedrijven zo pragmatisch en vlot mogelijk door het nodige GDPR-traject.
En nu?
De stortvloed aan sancties die bedrijven vreesden, bleef het afgelopen jaar uit in België. In onze buurlanden ging het er anders aan toe. Alternatieve taxi-dienst Uber kreeg zowel in Nederland (€ 600.000) als in Groot – Brittannië (€ 439.714) fikse boetes. Ook internetgigant Google kreeg een financiële opdoffer van € 50 miljoen van de privacy autoriteiten in Frankrijk. En dat zijn slechts twee voorbeelden van bedrijven die werden veroordeeld.
(Lees ook: Niet-naleving GDPR kost Google €50 miljoen)
In België bleef het vooralsnog stil. Vele bedrijven stellen zich vandaag dan ook de vraag of alle paniek en moeite dan wel nodig waren. Maar klopt dit wel?
Wat is er het afgelopen jaar op eigen bodem gebeurd? Op basis van cijfers die we kregen van de Belgische Gegevensbeschermingsautoriteit (de “GBA”) en onze eigen ervaring als specialisten, hebben wij de balans opgemaakt van een jaar GDPR.
1 jaar GDPR: hoe staat België ervoor?
Klachten ingediend bij de GBA: 328
Er werden het afgelopen jaar in totaal 328 klachten ingediend bij de GBA, de voormalige Privacycommissie. Ter vergelijking: eind 2018 werden er 9.661 klachten ingediend bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens.
In België gaan klachten vooral over :
-
Inbreuk op de rechten van het datasubject
Datasubjecten (mensen zoals u en ik) dienden een klacht in tegen bedrijven die bv. niet transparant zijn over welke gegevens deze van hen hebben of wat ze er mee doen. Overeenkomstig de GDPR heeft een datasubject immers het recht om te weten welke gegevens de onderneming van hem/haar heeft en, indien gevraagd, die ook te verwijderen. Hierop niet (behoordelijk) antwoorden, geldt als een inbreuk.
-
Direct marketing
Deze klachten gaan voornamelijk over bedrijven die personen commerciële mailings of brieven sturen zonder dat ze de vereiste rechtsgrond (bv. toestemming/opt in) hebben van deze persoon om hen te contacteren voor commerciële doeleinden.
We zien dat de GDPR dus vele marketeers aanzet tot nieuwe creatieve manieren voor online marketing activiteiten.
-
Bewakingscamera’s
In deze gevallen gaat het dan over mensen die door een bewakingscamera gefilmd werden en graag wilden weten wat er met die beelden zou gebeuren en voor welke doeleinden deze gebruikt zouden worden.
Datalekken gemeld bij de GBA: 645
Wanneer er een datalek plaatsvindt, is een onderneming verplicht dit – binnen de 72 uren na kennisname – te melden aan de GBA wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Intussen hebben er 645 van dergelijke meldingen plaatsgevonden. Ter vergelijking: in Nederland zijn er in 2018 20.881 datalekken (15.400 sedert 25 mei 2018) gemeld aan de Autoriteit Persoonsgegevens.
De meldingen in België kwamen hoofdzakelijk uit de volgende sectoren
- Financiële activiteiten en verzekeringen
- Menselijke gezondheidszorg
- Openbaar bestuur en defensie
Aantal boetes uitgedeeld door de GBA: 0
Dit is een opvallend cijfer, zeker als je het vergelijkt met het aantal boetes dat in andere Europese landen werd uitgedeeld.
Een vergelijking met enkele buurlanden*:
- Nederland: 4 boetes, goed voor in totaal € 738 000.
- Frankrijk: 8 boetes, gelijk aan in totaal € 51 045 000.
- Groot – Brittannië: 31 boetes (!),in totaal ca. € 4 484 000.
(Een bekend geval uit Groot- Brittannië was de boete van € 600 000 voor Uber. Lees hier meer)
*bron: Dailybits
Waarom geen boetes in België?
De gevreesde boetes bleven in ons land voorlopig dus nog uit. De GBA geeft als verklaring voor dit opvallende cijfer dat de Geschillenkamer in zijn volledige en definitieve samenstelling pas recent is benoemd.
Voorbij met de rust
Intussen werd de Belgische GBA samengesteld en legden de 5 directeurs van de GBA op 24 april 2019 hun eed af. Daarmee komt er dus wellicht ook voor België een einde aan een ‘rustige periode’. De nieuwe voorzitter, David Stevens, kondigde al aan dat de GBA helemaal klaar is om in actie te schieten.
Lees ook: Gegevensbeschermingsautoriteit klaar om tanden te laten zien
UPDATE: op 29 mei 2019 deelde de GBA de eerste GDPR boete uit. Klik hier om meer te lezen: Eerste GDPR boete in België is een feit
Aantal aangemelde Data Protection Officers (DPO’s): 4.397
De rol van de Data Protection Officer bestaat er in hoofdzaak in om de naleving van de privacywetgeving binnen de onderneming te waarborgen.
DPO’s moeten zich verplicht registreren bij de GBA. Momenteel zijn er 4.397 aangemelde actieve Data Protection Officers. Hierbij dient echter wel vermeld te worden dat DPO’s zich al konden registreren voor 25 mei. Deze werden in dit cijfer ook meegenomen.
Meest voorkomende GDPR issues bij bedrijven
De experts binnen ons Team Privacy en IT stonden reeds vele (internationale) bedrijven uit alle mogelijke sectoren bij met raad en daad inzake de privacywetgeving. Zelfs een jaar na de inwerkingtreding ervan is en blijft de GDPR hot topic in de bedrijfswereld. Ook bedrijven die intussen compliant zijn, hebben immers regelmatig advies nodig.
De vragen waar DGDM het afgelopen jaar bedrijven voornamelijk in begeleid heeft, zijn:
-
Data transfer
Persoonsgegevens worden vaak tussen talloze ondernemingen uitgewisseld, zoals bv. voor online marketing. Het is belangrijk dat er duidelijke afspraken worden gemaakt onder welke voorwaarden deze uitwisseling kan gebeuren (bv. voor welke doeleinden, welke beveiligingsmaatregelen, welke rol elk van de partijen inneemt (controller/processor, …)). Gezien dit vaak over meerdere partijen gaat, is het nodig dat deze afspraken op elkaar zijn afgestemd. Onze experts helpen om dit in kaart te brengen met inbegrip van de commerciële belangen die hier een belangrijke rol spelen.
-
Website review en marketing traject
Dit omvat het reviewen van de website/apps, opstellen van cookieverklaringen, privacystatements en advies inzake direct marketingactiviteiten.
-
Compliance traject
Ons team heeft al diverse (internationale) bedrijven (met vaak meerdere vestigingen/dochterondernemingen) begeleid om deze GDPR compliant te maken. Hierbij brengen we alle processen in kaart en implementeren we per proces een traject om alle data GDPR-proof te behandelen. Ook voor nieuwe projecten/technologieën, hebben wij onze klanten geadviseerd over welke wijze om te gaan met persoonsgegevens.
Meer over deze dienst: GDPR advies
-
Bijstand Data Protection Officer
Met onze uitgebreide DPO opleiding heeft ons team verschillende DPO’s die aangesteld werden binnen een onderneming de juiste training gegeven om hun nieuwe functie te kunnen uitoefenen. Daarnaast bieden wij ook eerstehulplijn voor advies voor bijzondere issues of vragen van DPO’s.
Bovendien vervullen wij voor diverse ondernemingen ook zelf de functie van DPO en nemen wij deze taak voor hen uit handen.
Meer over deze dienst: DPO officer
Wij kunnen helpen
Heeft u nog vragen hierover of worstelt u met een GDPR issue? Laat ons zeker weten waarover u meer informatie of advies wenst.
Ook interessant
- Wat als Facebook veroordeeld zou zijn na mei 2018?
- Zal de GDPR uw cookies opeten?
- In orde met de GDPR in 10 stappen
- GDPR van bedreiging naar opportuniteit
- Maak een bestseller van uw privacystatement.
- Ja, ik wil! Alles over expliciete toestemming