De Gegevensbeschermingsautoriteit (GBA) heeft de balans opgemaakt na zes maanden Algemene Verordening Gegevensbescherming (AVG of GDPR) en is met enkele cijfers over de brug gekomen. Hoe doen we het in vergelijking met onze buurlanden?


Het is interessant om de cijfers van de volgende onderwerpen eens te vergelijken met enkele vaststellingen uit onze buurlanden die ook reeds enkele cijfers hebben gepubliceerd†of waar we enkele vaststellingen hebben kunnen doen op basis van informatie beschikbaar op de websites van de respectievelijke autoriteiten :

  • Informatie en advies aanvragen
  • Meldingen datalekken
  • Klachten
  • Inspecties en sancties
  • Aanmeldingen DPOs

Informatie- en advies aanvragen

Het spreekt voor zich dat er een enorme toevloed is aan vragen over de AVG. De GBA ontving sedert 25 mei 3.599 informatievragen (2.145 in 2017) en heeft 137 adviesdossiers geopend (44 in 2017).

De GBA concludeert, globaal genomen, dat er in 2017 net iets minder dan 5.000 dossiers (informatie, bemiddeling/klacht en controle) waren en dat dit voor 2018 de 7.000 zal overstijgen.

De Franse autoriteit heeft 178.000 vragen ontvangen in 2018. De Franse autoriteit heeft tevens vastgesteld dat gretig gebruik wordt gemaakt van haar tools (model Date Protection Impact Assessment, FAQs, website, Ö )†

Meldingen datalekken

De GBA gaat van start met een opmerkelijk cijfer over de melding van datalekken. Reeds 317 datalekken zijn gemeld in de zes maanden na de inwerkingtreding van de AVG op 25 mei 2018 wat een exponentiŽle stijging is tegenover de 13 meldingen over heel 2017. De GBA stelt dat dit het gevolg is van de nieuwe verplichting om datalekken te melden. Voor de inwerkingtreding van de AVG was de meldplicht enkel verplicht in specifieke sectoren (telecom). De meldingen komen voornamelijk uit de volgende sectoren:

  • Gezondheidszorg
  • Verzekeringen
  • Openbaar bestuur en defensie
  • Telecommunicatie en BIPT
  • FinanciŽle dienstverlening

De Franse Gegevensbeschermingsautoriteit CNIL heeft ook haar balans opgemaakt. De CNIL heeft gemiddeld 7 meldingen per dag ontvangen sedert 25 mei 2018. Dit komt neer op een totaal van 1.000 meldingen.

Frankrijk heeft uiteraard een groter bevolkingsaantal en veel meer organisaties en ondernemingen dus kunnen we stellen dat de cijfers in lijn liggen met die uit BelgiŽ.

Klachten

De burger heeft intussen reeds 148 klachten/verzoeken ingediend bij de GBA (76 in 2017). Eťn van de gekende klachten werd ingediend door NYOB (My privacy is Non Of Your Business) tegen Instagram.

De Franse burgers zijn veel ijveriger gebleken met hun 9.700 klachten waarvan 6.000 sedert 25 mei (verhoging van 34% vergeleken met dezelfde periode in 2017).

3 organisaties hebben ook reeds collectieve klachten neergelegd :

  • Quadrature du Net tegen Google, Facebook, Amazon, LinkedIn, en Apple voor 45.000 personen
  • NOYB (belangengroep Max Schrems die eerdere zaken tegen Facebook won die het data transfermechanisme Safe Harbor onderuit heeft gehaald) tegen Google
  • ONG Privacy International tegen 7 ondernemingen die op grote schaal data verwerken.

De CNIL werkt tevens mee aan 345 grensoverschrijdende klachten.

Ook in het Verenigd Koninkrijk, Oostenrijk en Duitsland werden reeds collectieve klachten neergelegd.

In Nederland werden op een maand tijd (juni 2018) ook reeds 600 klachten ingediend.

Inspecties en sancties

Intussen zijn de eerste inspecties aan de gang stelt de GBA, maar er zijn nog geen zaken aanhangig gemaakt bij de geschillenkamer met als gevolg dat er dus ook nog geen sancties zijn uitgesproken.

Onze buurlanden zijn hier duidelijk een stuk actiever.

De Franse CNIL stelde begin 2018 dat zij mild zou ageren bij het niet naleven van enkele nieuwe plichten zoals data portability en impact assessments. De CNIL zou wel onmiddellijk optreden tegen de gekende principes.

De CNIL heeft op haar website (enkele) sancties gepubliceerd met toelichting over de overtreding en naam van de onderneming. Het betreft sancties tussen de 10.000 en 100.000 EUR.

De Information Commissioner's Office (ICO) uit het Verenigd Koninkrijk is ook zeer actief gebleken en heeft reeds heel wat sancties uitgesproken, zelfs tot 500.000 pond.

In Nederland heeft de Autoriteit Persoonsgegevens ook reeds aan een organisatie een dwangsom van 150.000 EUR per maand opgelegd (met een maximum van 900.000 EUR) om de organisatie te dwingen de nodige maatregelen te nemen (en dus niet louter de boete betalen en met de onrechtmatige verwerking verder te gaan). Voorts publiceert de Nederlandse autoriteit nog enkele zaken waar zij dwangsommen oplegt of de resultaten van inspecties toelicht.

Het publiceren van een sanctie kan in sommige gevallen een grotere impact hebben dan de sanctie op zich. Immers, bekendmakingen van sancties kan leiden tot een vertrouwensbreuk bij klanten en consumenten met alle gevolgen van dien.†

Aanmelding Data Protection Officer (DPO)

De AVG schrijft voor dat een organisatie die een DPO heeft aangesteld, dit moet melden aan de toezichthoudende autoriteit. De GBA telt intussen reeds 3.540 aanmeldingen, waarvan 2.551 sedert 25 mei 2018.

De Franse autoriteit stelt dat er reeds 32.000 organisaties hun DPO hebben aangemeld wat neerkomt op 15.000 DPOs.

Voor meer informatie over de aanstelling van een functionaris van de gegevensbescherming of data protection officer, herlees het artikel 'De GDPR Stap 1: een GDPR team en/of Data Protection Officer en zijn team'.†††

Conclusie : rust niet op uw lauweren

De Belgische Gegevensbeschermingsautoriteit laat verstaan dat de inspectiedienst en de geschillenkamer, ondanks dat er nog geen nieuwe benoemingen zijn, wel reeds operationeel zijn. We stellen dus vast dat hier wel nog geen concrete zaken uit zijn voortgevloeid. De GBA stelt nog dat zij voornamelijk inzet op haar advies- en sensibiliseringsrol.

Het is wel een belangrijk punt voor Belgische ondernemingen om over de landsgrenzen heen te kijken. De grensoverschrijdende klachten en geschillenprocedures zijn belangrijk om rekening mee te houden voor Belgische ondernemingen die activiteiten uitoefenen in Frankrijk, het Verenigd Koninkrijk, Ö waar de autoriteiten nu reeds zeer actief zijn met inspecties en sancties en die op heden ook een stuk strenger blijken te zijn.

Immers, het is niet omdat de Belgische autoriteit meer inzet op advies en sensibilisering dat de Belgische onderneming geen klacht tegen zich kan krijgen in de ons omringende landen die reeds sterk inzetten op inspecties en (hoog oplopende) boetes.

In BelgiŽ werden de leden van het directiecomitť nog niet aangesteld. Het directiecomitť van de GBA zal binnenkort ook haar rol opnemen en het is afwachten of deze "nieuwe" GBA al dan niet een strengere koers zal (beginnen) varen. Lees hier meer over de nieuwe bevoegdheden van de GBA.

Deze tussenperiode zou tot onzekerheid leiden over de toepassing van de AVG. Beschouw deze tussenperiode eerder als de verlengingen om verder te gaan met het implementatieproces. Bovendien bestaan er reeds heel wat interpretaties, aanbevelingen en richtsnoeren die niet zomaar in het water vallen naar aanleiding van de inwerkingtreding van de AVG.

Agoria raadt haar leden dan ook aan om actief verder te gaan met de implementatie van de AVG en dus niet de kat (of beter : inspecties/sancties van de GBA) uit de boom blijven kijken.

Bovendien merken we op dat ondernemingen (uw klanten of leveranciers) daadwerkelijk een punt maken van gegevensbescherming en privacy en dat klanten of leveranciers ook steeds meer eisen stellen wat betreft behoorlijke gegevensbescherming.

Daarnaast is het van groot belang om het vertrouwen van de werknemers en de consumenten te verkrijgen, op te bouwen of te behouden om de commerciŽle relatie te versterken.