Gegevensbeschermingsautoriteit toont eindelijk de tanden: gaat u de bon op?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (GDPR) van kracht. Deze nieuwe Europese ‘privacywet’ moest ervoor zorgen dat de wetgeving aangepast werd aan de nieuwe uitdagingen bij het verwerken van persoonsgegevens. Er is echter geen wetgeving zonder handhaving en daarom voorziet de GDPR ook in boetes, meer concreet: administratieve geldboetes. Een beetje te vergelijken met het goed ingeburgerd concept van de gemeentelijke administratieve sancties of GAS-boetes.

Maximum 500.000 euro is verleden tijd

In België heeft het, zoals wel vaker, even geduurd vooraleer alles op poten was gezet om ook effectief boetes wegens schending van de privacywetgeving uit te kunnen reiken. Onze gegevensbeschermingsautoriteit (GBA) – de vroegere ‘privacycommissie’ – is nog maar sinds begin april 2019 op volle kracht actief. De oorzaak hiervan was het ontbreken van iemand met voldoende kennis van de derde landstaal, ohne Witz.

De vorige privacywet (sinds 8/12/1992) was Belgisch en werd Europees door de Richtlijn 95/46 verder gevormd. Ook daaronder waren boetes mogelijk, weliswaar beperkt tot een maximum van 500.000 euro. Hoewel dit een groot bedrag lijkt, namen veel zowel private als publieke organisaties de strategische beslissing om niets te doen omdat de investering om volledig in lijn te zijn meer zou kosten dan de mogelijke boete.

Hond zonder tanden

Naar handhaving toe is er dan ook heel weinig gebeurd onder die wet en de privacycommissie werd wel eens verweten “een hond zonder tanden te zijn”: blaffen in de pers maar nooit echt bijten.

De privacycommissie werd wel eens verweten een hond zonder tanden te zijn.

Met de GDPR zijn veel hogere boetes mogelijk. Op het maximum kleeft geen absoluut bedrag maar afhankelijk van het belang van de overtreden artikelen gaat dit van 2% (van de wereldwijde omzet) of 10 miljoen euro tot 4% of 20 miljoen euro. Hierbij wordt telkens het hoogste van de twee gekozen. Een internationaal bedrijf met bijvoorbeeld 4 miljard euro jaaromzet kan zo maximaal tussen de 80 miljoen en 160 miljoen euro boete krijgen. En dan hadden we het nog niet over Facebook …

Ook met dit kolossale zwaard van Damocles dat boven de overtreder hangt, zijn er nog steeds organisaties die ervoor kiezen om quasi niets te doen. “Wij staan niet op de radar van de GBA”, “Onze sector wordt niet geviseerd”, “Wij doen geen B2C”, “Het is een risico dat we nemen” zijn enkele van de veel voorkomende argumenten.

Doeltreffend, evenredig en afschrikwekkend

De eerste boetes zijn een feit: 2.000 euro voor een burgemeester die e-mailadressen van burgers (ivm een gemeentelijke taak) hergebruikte voor zijn persoonlijke verkiezingsreclame en 10.000 euro voor een winkel die enkel de elektronische identiteitskaart als klantenkaart toeliet. Deze bedragen lijken laag maar liggen in lijn met wat de GDPR beoogt. Artikel 83 stelt immers dat boetes doeltreffend, evenredig en afschrikwekkend moet zijn.

  • Doeltreffend: De boete moet de overtreder duidelijk maken dat dat wat men deed, niet kan.
  • Evenredig: Het niet of slechts gedeeltelijk respecteren van de GDPR leidt onterecht tot een voordeel: Overtreders krijgen meer inzichten zonder toelating (of akkoord via contract of andere) van de klant en doen bepaalde kosten niet om het juist te doen (zowel technische beveiliging als organisatorische zaken), terwijl concurrenten deze kosten wel maken en niet tot die heimelijke inzichten kunnen komen.
  • Afschrikwekkend: De Belgische GBA heeft niet de ambitie om bedrijven failliet te laten gaan. De boete moet, net zoals de GAS-boete voor de burger, het bedrijf wel raken in de portefeuille zodat dit twee keer nadenkt vooraleer hetzelfde te doen. Anders dan bij GAS-boetes zal de GBA wel veel strenger optreden tegen recidivisten of zij die niet de beloofde verbetertrajecten uitvoeren.

Imagoschade

Nu de GBA er is, kan en zal men sectorale doorlichtingen doen, wat betekent dat een klacht of inbreuk bij een concurrent jou ook plots op de radar kan zetten. Bovendien kan de burger die nadeel ondervond aan de incorrecte verwerking van zijn persoonsgegevens ook nog naar de rechtbank stappen om een schadevergoeding af te dwingen. Ook kunnen meerdere burgers samen een class-action-suit aanspannen, wat tot grote imagoschade en kosten kan leiden voor de organisatie in kwestie. De kost om dit recht te trekken is vaak veel duurder dan de GDPR-boete en de schadevergoeding aan betrokkenen samen. Een gewaarschuwd ontkenner is er twee waard …

Dit is een bijdragen van Bavo Van den Heuvel, Chief Knowledge Officer bij CRANIUM Belgium NV. Via deze link vind je meer info over de diensten van het bedrijf.