GDPR-boetes tellen na één jaar op tot 56 miljoen euro

In het eerste jaar dat de GDPR van kracht is, werden 91 bedrijven beboet voor een totaal bedrag van 56 miljoen euro. Het leeuwendeel daarvan is toe te schrijven aan één monsterboete van 50 miljoen euro aan het adres van Google.  

Een rapport van de Europese Data Protection Board, samengesteld uit regulatoren van de verschillende EU-lidstaten, sprak eerder dit jaar over 206.326 gerapporteerde zaken. Zo’n 65.000 meldingen waren het gevolg van een gegevenslek en bijna 95.000 onderzoeken kwamen er na een klacht.

Het lijkt erop dat de meeste nationale privacywaakhonden er nog een voorzichtige houding op nahouden. De monsterboetes van 4% jaaromzet blijven voorlopig uit, en bedrijven komen er nog makkelijk vanaf met een lichte boete of waarschuwing.

In totaal werden al 91 boetes uitgeschreven, voor een totaal bedrag van 56 miljoen euro. Dat lijkt een flink bedrag, maar 50 miljoen euro is toe te wijzen aan één Franse boete aan het adres van Google. De overige boetes liepen hoogstens op tot enkele honderdduizenden euro’s.

België en Nederland

Lexology publiceerde een overzicht per land van de beslissingen en boetes die in het afgelopen jaar reeds werden genomen met betrekking tot de GDPR.

Wat België betreft, werden nog geen boetes uitgeschreven, al zouden wel reeds enkele onderzoeken aan de gang zijn. Heel vreemd is dat niet, aangezien de Gegevensbeschermingsautoriteit (GBA) pas sinds eind maart van dit jaar een directiecomité heeft.

Update 29/05/2019, 10u28: Op maandag 28 mei schreef de GBA een eerste GDPR-boete van 2.000 euro uit, zo meldt Data News. Het gaat om een burgemeester die gebruik maakte van de e-mailadressen van burgers, die hij had verkregen in het kader van een verkavelingswijziging, om hen een verkiezingsbericht te sturen in aanloop naar de gemeenteraadsverkiezingen van 14 oktober 2018.

In Nederland werd al één boete uitgeschreven. Uber kreeg een boete van 600.000 euro omdat het had nagelaten een datalek uit 2016 tijdig te melden. In 2016 was de GDPR nog niet van kracht, maar had Nederland wel al een meldplicht in voege.

Ierland en Facebook

Als Europees hoofdkwartier van verschillende grote Amerikaanse techreuzen, speelt Ierland een bijzondere rol. Bedrijven als Google, Microsoft, Apple, Facebook en Twitter hebben hun verwerking van persoonsgegevens van Europese burgers in Ierland geregistreerd.

Volgens BBC heeft de Ierse Data Protection Commission 19 wettelijke onderzoeken uitgevoerd, waarvan 11 gericht zijn op Facebook, WhatsApp en Instagram. De meest voorkomende zorg betreft de juridische basis voor het verwerken van persoonsgegevens, gebrek aan transoarantie over hoe deze gegevens worden verzamelt en het recht van gebruikers op toegang tot hun data.

Toekomst

Hoewel bedrijven en autoriteiten meer dan genoeg tijd hadden om zich op de komst van de GDPR voor te bereiden, leek het afgelopen jaar toch vooral nog een periode waarin het water werd afgetast en gegevensbeschermingsautoriteiten zich probeerden oriënteren in hun nieuwe rol.

Daarbij lijkt voorlopig vooral een constructieve benadering te worden gehanteerd, waarbij organisaties worden beloond voor goed gedrag, in plaats van streng afgestraft voor inbreuken. Boetes waren tot nu toe over het algemeen laag om bedrijven aan te sporen om aan de regels te voldoen en hen iets meer tijd te geven om zich verder aan te passen.

Dat tijdperk van toegeeflijkheid komt uiteindelijk evenwel ten einde, waarschijnlijk eerder sneller dan later. Bedrijven moeten dan ook blijvende aandacht hebben voor de vereisten van de GDPR. De manier waarop persoonsgegevens binnen de organisatie worden verwerkt, kan ook de komende jaren beter hoog op de agenda blijven staan.

Gerelateerd: Wie ligt nog wakker van de GDPR?