Een jaar geleden in mei 2018, trad de GDPR in werking. In veel bedrijven heerste kort voordien een zekere paniek: wat moesten ze nog in orde brengen en welke boetes hingen hen boven het hoofd als dat niet op tijd zou lukken? In België blijkt dat voorlopig mee te vallen maar daar komt nu verandering in. We kunnen alvast lessen trekken uit de sancties die in andere landen al werden opgelegd.
In België gebeurde de benoeming van de vijf directeurs van de Gegevensbeschermingsautoriteit (GBA), de vroegere Privacycommissie, pas eind maart 2019. Doordat die benoeming zo lang op zich liet wachten, liep de controle rond de GDPR in ons land ook vertraging op. Het is namelijk de taak van het directiecomité om onder meer de naleving van de GDPR-regelgeving op te volgen en om informatie te geven aan bedrijven over de manier waarop ze met persoonsgegevens moeten omgaan. Aangezien de GBA dus pas sinds kort die opdracht actief kan uitvoeren, mogen we ons verwachten aan een inhaalbeweging. Wat dat in de praktijk inhoudt, kunnen we afleiden uit hetgeen in andere Europese landen al is gebeurd.
GDPR eBook
Ga aan de slag met een concreet stappenplan en maak uw organisatie
GDPR-proof.
Vaak voorkomende GDPR-overtredingen
Als we bekijken welke boetes al zijn opgelegd in het kader van de GDPR, dan kunnen we die onderbrengen in drie domeinen: toestemming (‘consent’), security en de eindgebruikers.
De toestemming voor het gebruik van gegevens is door de GDPR veel strikter geregeld dan vroeger. Bedrijven die spam versturen of mensen lukraak contacteren via call centers, kunnen dan ook een sanctie verwachten. Dat mochten intussen al heel wat Britse ondernemingen ondervinden. In de ‘consent’-categorie valt natuurlijk ook de beruchte opt-in voor online advertenties. Precies daarom werken heel wat websites nu met pop-up vensters die u informeren over het gebruik van uw gegevens. In Frankrijk kreeg Google de eerste grote GDPR-boete – 50 miljoen euro – omdat werd geoordeeld dat de eindgebruiker bij het creëren van een account onvoldoende en niet duidelijk werd geïnformeerd over het gebruik van zijn gegevens. Bovendien werd het vakje ‘gepersonaliseerde advertenties ontvangen’ al vooraf aangevinkt, wat ingaat tegen de voorwaarden. Ook met beeldmateriaal moet u nog meer dan ooit voorzichtig omspringen. Iemand filmen zonder uitdrukkelijke toestemming mag absoluut niet. Een Britse tv-ploeg die zomaar filmde op een kraamafdeling, kreeg dan ook een boete van ongeveer 140.000 euro.
Onder ‘security’ verstaan we alle beveiligingsprocedures voor persoonsgegevens, waaronder ook ‘identity & access management’ valt. Als bedrijf moet u ervoor zorgen dat alle systemen goed beveiligd zijn zodat persoonsgegevens zijn afgeschermd voor niet-geautoriseerde gebruikers. Als er toch een datalek is, bijvoorbeeld door een virus of een hacker, bent u verplicht om dat te melden. Uber liet op dat vlak steken vallen en kreeg daarom in Nederland, Frankrijk en het Verenigd Koninkrijk boetes opgelegd van samen bijna 1,5 miljoen euro. Door een datalek bij Uber kregen onbevoegden namelijk toegang tot de persoonsgegevens van klanten en chauffeurs - namen, e-mailadressen en telefoonnummers. Wereldwijd ging het over ruim 57 miljoen Uber-gebruikers. Nederland en Frankrijk legden de boete op omdat Uber het datalek niet binnen de 72 uur had gemeld maar pas na een jaar, terwijl men in het Verenigd Koninkrijk oordeelde dat Uber niet voldoende had ondernomen om de problemen te vermijden. Zo was de online toegang tot de gegevens niet goed beveiligd.
Vaak zijn de eindgebruikers de zwakste schakel in de beveiliging. Hoe kunt er zeker van zijn dat zij op een veilige manier omgaan met vertrouwelijke informatie? Dat was alvast niet het geval in het Centro Hospitalar Barreiro Montijo, een ziekenhuis in Portugal, waar werknemers met valse profielen medische dossiers konden inkijken. Het leverde de instelling een boete op van 400.000 euro. In de Portugese case ging het om een bewuste overtreding door de eindgebruikers, maar dat is lang niet altijd het geval. Zo stuurde de politiedienst van het Britse Gloucestershire zeker niet met opzet een e-mail met gevoelige informatie over misbruikslachtoffers naar 56 mensen, maar ze kreeg wel een boete van 93.000 euro.
Verdere voorbeelden van GDPR-overtredingen kan u in de blog van Herman Maes lezen.
GDPR-boetes vermijden
Waar gaat het nu om bij de GDPR, en moet u als bedrijf echt wakker liggen van die torenhoge boetes? Nee, want de basisregels van de GDPR bestaan al veel langer dan een jaar. Voor ondernemingen die waarde hechten aan hun reputatie en aan hun klantenervaring is respectvol en veilig omgaan met gevoelige persoonsgegevens een evidentie. Natuurlijk kunt u best wel eens laten checken of uw infrastructuur en uw data voldoende beveiligd zijn, en kan het nooit kwaad om de interne procedures eens door te lichten en uw medewerkers te wijzen op hun verantwoordelijkheid.