Belangrijke wijzigingen voor IT-contracten als gevolg van het nieuwe verbintenissenrecht

Webinar op 16 maart 2023

Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

GDPR in cijfers: de jaarverslagen en prioriteiten van de GBA en de AP (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

Het einde van het jaar is altijd hét moment om even achterom te kijken én om plannen te maken voor de toekomst.  Dat is niet anders bij de Belgische Gegevensbeschermingsautoriteit die zopas haar jaarverslag 2021 en haar prioriteiten voor 2023 publiceerde. De Nederlandse Autoriteit Persoonsgegevens of AP had haar jaarverslag al eerder dit jaar gepubliceerd.

We lazen beide verslagen in detail door en zetten wat cijfers op een rijtje.  Heel wat Belgische ondernemers zijn immers ook in Nederland actief en vice versa, en een vergelijking is hoe dan ook zeer interessant.  We filterden uit beide verslagen meteen de aandachtspunten voor Belgische (en Nederlandse) ondernemers in 2023.

Jaarverslag en prioriteiten

De GBA heeft er -alweer- geen al te makkelijk jaar opzitten.  Het ging ook in 2022 vaker over het interne gekrakeel binnen de GBA dan om de uitoefening van haar taken en prioriteiten.  Gelukkig lijkt de voorbije maanden de interne werking opnieuw wat in de plooi gevallen en bij het eind van het jaar kan de Gegevensbeschermingsautoriteit toch alvast duidelijk aangeven waar haar prioriteiten voor 2023 zullen liggen.  In één trek door levert ze in haar jaarverslag 2021 verspreid over 55 pagina’s ook heel wat cijfermateriaal over haar werking.  Op de cijfers voor 2022 is het nog een jaartje wachten.  Maar voor het voorbije jaar hebben we wél zicht op de gepubliceerde sancties en ook die geven heel wat nuttige inzichten voor bedrijven en organisaties die persoonsgegevens verwerken.

De Nederlandse Autoriteit Persoonsgegevens op haar beurt blijft in onze ogen toch actiever, performanter en communicatiever en dat blijkt zelfs uit haar jaarverslag, dat met 87 pagina’s aardig langer en gedetailleerder is dan dat van de GBA en bovendien al in april 2022 klaar was.

Vergelijkende GDPR cijfers

Elk goed jaarverslag bevat cijfers en statistieken.  Dat is bij de GBA en de AP niet anders.  En die cijfers bevatten enkele opvallende en moeilijk te verklaren verschillen tussen België en Nederland, verschillen die overigens sinds 2018 jaar na jaar terugkeren.

Méér klachten in Nederland

Zo leren we bijvoorbeeld dat Nederlanders ook in 2021 tien keer vaker een klacht neerlegden bij de AP dan Belgen bij de GBA.  De Nederlandse autoriteit ontving net geen 19.000 klachten, tegenover 1.928 voor de GBA (waarvan er dan nog 1.120 gelinkt waren aan één specifiek datalek bij Facebook).  Zijn Nederlanders mondiger dan Belgen of vinden ze makkelijker de weg naar de overheid?  Ook na 4 jaar GDPR blijft het gissen naar de oorzaak van dit toch wel héél erg grote verschil.

Wat wél duidelijk is, is dat het aantal klachten in België in constant stijgende lijn zit.  Mensen kennen hun rechten duidelijk steeds beter en ondanks de nog grote verschillen met Nederland, vinden ze steeds vaker de weg om een klacht in te dienen.  Als bedrijf of vzw wil je die klachten vanzelfsprekend voorkomen.  Ze leiden al te vaak tot een onderzoek door de GBA en potentieel tot erg vervelende boetes, maar ze zijn in de eerste plaats ook érg slecht voor je bedrijfsimago.  Bedrijven investeren massa’s geld in reclame en communicatie om een positieve brand image te creëren, maar dat mooie merkimago is zo weer verspeeld als je niet  respectvol omgaat met (de gegevens van) je klanten en prospects.

Méér (aangemelde) datalekken in Nederland

Een nóg groter verschil zien we bij het aantal aangemelde datalekken: 25.000 in Nederland tegenover amper 1.400 in België.  We kunnen moeilijk geloven dat Belgische bedrijven zo veel veiliger werken dan hun Nederlandse collega’s.  De oorzaak moet dus elders liggen.  Bij gebrek aan representatief onderzoek, wijten wij een en ander vooralsnog en enigszins cynisch aan de Belgische volksaard, die ‘wat niet weet, niet deert’ toch altijd hoog in het vaandel draagt…

Belgische achterstand in aangemelde DPO’s verkleint elk jaar

Ook het aantal aangemelde DPO’s lijkt in Nederland hoger te liggen met ruim 12.000 tegenover ongeveer 7.000 in België, maar hier zijn de verschillen an sich in verhouding tot het aantal actieve ondernemingen in elk van beide landen en de verschillen worden ook jaar na jaar kleiner.  Er zijn intussen pro rata evenveel DPO’s in België als in Nederland, wat in onze ogen nog meer vragen oproept bij het grote verschil in aangemelde datalekken.  Blijkbaar adviseren Belgische DPO’s minder vaak om een incident effectief aan te melden bij de GBA …

Ook op vlak van handhaving zien we verschillen, maar dan in de omgekeerde richting.  Zowel op vlak van bemiddelingspogingen (142 in België vs 50 in Nederland) als op vlak van opgelegde sancties (112 in België tegen amper 15 in Nederland).  Ook hier is het moeilijk om deze verschillen te verklaren.  We lezen wel dat de AP met een achterstand kampt in de behandeling van klachten en dat 10.000 klachten nog op behandeling wachten.  Wellicht volgen op termijn uit die klachten nog heel wat sancties en is het beeld voor 2021 dus enigszins vertekend.

Waarop letten in 2023?

Als we beide jaarverslagen naast elkaar leggen en er meteen ook even de recent door de GBA gepubliceerde prioriteitenlijst voor 2023 bijnemen, kunnen we meteen ook een aantal aandachtspunten voor 2023 oplijsten.

Controle op en ondersteuning van DPO’s

Heb je een DPO aangesteld als dat nodig is en voldoet die DPO aan de minimale vereisten die de GDPR oplegt?  Dat is, althans voor België, voor 2023 één van dé aandachtspunten voor de GBA.  De voorbije jaren nam de GBA al enkele beslissingen die de kwalificaties en onafhankelijkheid van aangestelde DPO of (onder andere) de afwezigheid van de DPO tout court, met aanzienlijke boetes tot gevolg.

De GBA ziet de DPO ook -terecht- als haar eerste bondgenoot binnen een bedrijf en om die reden wil zij DPO’s blijven ondersteunen en informeren, maar tegelijk zal zij ook strenger toezien op de onafhankelijkheid van de DPO binnen een bedrijf én op de kwalificaties van de DPO.

Heel wat bedrijven hebben in onze ervaring géén DPO terwijl ze er wel een nodig hebben of hebben een DPO aangesteld die niet voldoet aan de vereisten uit de GDPR en de richtlijnen van de EDPB.  2023 is dan ook het ideale jaar om alsnog een DPO aan te stellen of om deze beter te omringen en ondersteunen, bijvoorbeeld via onze GDPR helpdesk.

Cookie compliance

In 2022 werden er maar liefst 11 beslissingen gepubliceerd met daarin een hele reeks boetes of minnelijke regelingen (lees lagere boetes omdat de inbreukpleger meewerkte) tussen 10.000 en 50.000 euro voor het niet correct gebruik van cookies op websites.

Ook in 2023 zijn cookies prioritair voor de GBA, zo blijkt uit haar prioriteitennota. De GBA zal volgend jaar haar standpunt over cookies nog explicieter communiceren en zal ongetwijfeld het aantal controles verder opdrijven.  Dat laatste, gekoppeld aan de ernstige juridische problemen rond data export bij het gebruik van heel wat cookie based tools zoals Google Analytics, Mailchimp, Hotjar, Active Campaign en anderen, maken van cookie compliance ook voor 2023 een topprioriteit voor jouw bedrijf.  Je website is je uithangbord en het eerste wat heel wat potentiële klanten van jouw bedrijf te zien krijgen.  Dat kan maar beter meteen goed zitten.

Het jaarverslag van de AP spreekt overigens niet over cookies of cookie compliance, maar dat betekent niet dat de AP niet met het onderwerp bezig is.  In april bijvoorbeeld publiceerde zij nog haar Handleiding privacyvriendelijk instellen van Google Analytics.  Cookie compliance is ook grosso modo gelijklopend tussen België en Nederland, met uitzondering van analytische cookies.  Wie aan cookie compliance werkt onder Belgisch recht, kan dus de oefening in één trek door voor Nederland doen zonder extra moeite.

Direct marketing en data brokers

De focus van de GBA lag in 2021 al op direct marketing. De GBA ontving een groot aantal informatieverzoeken, bemiddelingsverzoeken en klachten over de verwerking van persoonsgegevens gegevens met betrekking tot direct marketingactiviteiten en er waren ook heel wat beslissingen die rechtstreeks of onrechtstreeks aan direct marketing gelinkt waren.  Met name het dossier van de Roze Doos kreeg behoorlijk wat aandacht in de pers en leverde een boete van 50.000 euro op.

Vooral data brokers en affiliate marketing kwamen hierbij op de radar van de GBA.  Zo zullen de Inspectiedienst en de Geschillenkamer datamakelaars die vaak op zeer grote schaal persoonsgegevens verwerken, blijven onderzoeken en desgevallend bestraffen.

Ook de AP in Nederland wijdt behoorlijk wat aandacht aan datahandel in haar jaarverslag. Ze maakt daarbij ook melding van de boete van 525.000 euro die opgelegd werd aan Locatefamily.com.

Wees dus voorzichtig met het aankopen of huren van data en/of met het delen van data met derden, zoals affiliate marketing partners, data brokers of social mediaplatformen.  Die voorzorg dringt zich des te meer op als je rekening houdt met het probleem van data export dat bij heel wat digitale spelers nog steeds als een zwaard van Damocles boven het hoofd hangt.  Je marketing en communicatie verdient de nodige zorgen en garanties op vlak van GDPR compliance, toch?

Data Export Compliance

Gegevens verwerken in Amerikaanse cloudoplossingen of samenwerken met partners in de VS als daarmee persoonsgegevens uitgewisseld worden is al jarenlang een ernstig juridisch probleem.  Sinds het Schrems II arrest van het Europees Hof van Justitie het oude Privacy Shield tussen de VS en de EU, onderuit haalde, is het immers quasi onmogelijk voor Europese bedrijven om populaire toepassingen als Google Analytics, Mailchimp, Office365 of Google Workspace te gebruiken zonder daarbij boetes te riskeren.

Het recente “Executive Order” van President Biden van 7 oktober 2022 zou dat probleem moeten oplossen en zou de weg moeten banen naar een nieuw Privacy Shield in het voorjaar van 2023.  Maar tot hiertoe ziet het er niet naar uit dat de inhoud ervan op korte termijn een oplossing brengt voor de vele Europese bedrijven die vandaag in strijd met het Europees recht persoonsgegevens van Europese burgers verwerken in Amerikaanse softwaretoepassingen.  Data export naar de VS blijft juridisch gezien een probleem en dat zal nog minstens tot halfweg 2023 zo blijven.

Wil je toch data transfereren naar de VS of verwerken in een Amerikaanse tool?  Weet dan dat je enerzijds moet zorgen voor voldoende juridische basis.  Dat betekent in se dat je moet zorgen voor Standard Contract Clauses of voor door de GBA goedgekeurde Binding Corporate Rules (de GBA keurde in zes gevallen in 2021 zo’n BCR’s goed).  Bovendien moet je een grondige en gedocumenteerde risicoanalyse (Data Transfer Impact Assessment of DTIA) uitvoeren én daarbij beslissen om waar mogelijk bijkomende waarborgen in te bouwen (de facto in de vorm van totale third party encryptie van je data).

Dit blijft voor alle autoriteiten in de EU, en dus ook voor de GBA en de AP, ongetwijfeld één van de voornaamste aandachtspunten voor 2023.  Neem hier dus geen enkel risico en doe tijdig een DTIA op al je data exports.

Bron: Sirius Legal