Zes maanden GDPR: de eerste cijfers van de Belgische GBA (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

Publicatiedatum: 27/11/2018

Nadat verschillende van onze buurlanden al eerder statistieken vrijgegeven hadden van de eerste zes maanden GDPR-toezicht, heeft nu ook de Belgische Gegevensbeschermingsautoriteit een eerste statusupdate gegeven zes maanden nadat de GDPR van toepassing werd.  Enkele interessante statistieken hebben betrekking op het aantal meldingen van datalekken en ontvangen klachten.

Tragere start, maar nu toch de eerste cijfers

Het heeft in België wat langer geduurd dan in de buurlanden, maar inmiddels lijkt ook de Belgische Gegevensbeschermignsautoriteit op snelheid te komen.

In Nederland startte men al bij het begin van de zomer met de eerste systematische controles in verschillende sectoren en werden inmiddels honderden bedrijven en organisaties doorgelicht.  Ook in Frankrijk en Duitsland was dat het geval.  Een en ander leidde inmiddels tot heel wat waarschuwingen en sancties.  Tot voor kort was het wat dat betreft in België afwachten en dat werd door professionals in de sector toch als enigzins zorgwekkend aanzien, aangezien het gebrek aan controles en duidelijke guidelines vanuit de Belgische overheid zorgde voor rechtsonzekerheid en in zekere zin ook voor ongelijke concurrentie voor bedrijven die de regels wél volgen ten opzichte van zij die er de kantjes aflopen vanuit de vaststelling dat er toch geen controles zouden volgen.

Een en ander was een wat ongelukkige situatie, die zeker niet aan de inzet en goede bedoelingen van de GBA lag, maar ongetwijfeld aan de soms wat complexe organisatorische en administratieve werkelijlheid in België.  Onder meer het feit dat de leden van de nieuwe Belgische Gegevensbeschermingsautoriteit nog moeten worden benoemd door het Belgische parlement, zorgt voor aardig wat vertraging.

Gelukkig komt een en ander nu alsnog in beweging en zodra de GBA volledig operationeel zal zijn, zal zij ongetwijfeld haar activiteiten inzake advies, controle en sanctionering verder uitbreiden.  Deze week maakte de GBA alvast de eerste cijfers in verband met haar eerste activiteiten publiek.

Datalekken

In de zes maanden sinds 25 mei werd de Belgische Gegevensbeschermingsautoriteit op de hoogte gesteld van 317 datalekken. Ter vergelijking: vorig jaar werden amper 13 data breaches gemeld, maar toen bestond er vanzelfsprekend nog geen meldplicht.

Kanttekening hierbij is dat er op heden weinig actieve opvolging lijkt te zijn van de zijde van de Gegevensbeschermingsautoriteit na de melding van een datalek.  Verschillende getroffen bedrijven moeten vaststellen dat zij weinig of geen feedback krijgen van de GBA die hen kan helpen om in te schatten of hun melding voldeed aan alle vereisten, of de genomen maatregelen in de ogen van de GBA afdoende zijn en of zij nog verdere actie (boetes) van de GBA mogen verwachten.

De top vijf van bedrijfstakken die gegevensinbreuken melden, zijn: 1) gezondheidszorg, 2) verzekeringen, 3) overheidsdiensten en defensie, 4) telecom en 5) financiële diensten.

In vergelijking met de buurlanden is ook hier de vaststelling dat men elders in Europa vanuit de overheid toch heel wat reactiever is, zowel in de administratieve opvolging van gemelde datalekken als in het opleggen van sancties in die gevallen waar het datalek een gevolg is van een tekortkomen onder GDPR door de betrokken onderneming of organisatie.

Het is ons inziens in het belang van álle ondernemers dat in de nabije toekomst actieve opvolging van datalekken zou volgen én dat zowel het aantal als de aard van de gemelde datalekken publiek zou worden gemaakt, samen met de door de GBA genomen beslissingen inzake verdere opvolging ten aanzien van de betrokken ondernemingen en organisaties, opdat alle verwerkingsverantwoordelijken en verwerkers op termijn beter zouden kunnen inschatten wat hun verplichtingen zijn in het kader van het melden en opvolgen van datalekken bij de GBA.

Klachten

De Autoriteit heeft, naar eigen zeggen, daarnaast in de afgelopen zes maanden 148 klachten ontvangen. Dat komt neer op bijna één klacht per dag.

Ook hier is de vaststelling dat deze cijfers vooralsnog veel lager liggen dan in onze buurlanden.  Vanuit Frankrijk meldt men sedert mei 2018 maandelijks 500 klachten, in Nederland zelfs 750.  In beide gevallen ligt het aantal klachten in verhouding tot het inwonersaantal veel hoger dan bij ons.

Naar de reden hiervoor is het vooralsnog gissen, maar vaststelling is dat vanuit de overheid in de buurlanden veel actiever is gecommuniceerd over de GDPR, wat ertoe zou kunnen leiden dat burgers beter op de hoogte zijn van hun rechten en daardoor makkelijker of vaker klacht neerleggen.

Naar verwachting zal het aantal klachten in de toekomst enkel maar stijgen.  Burgers zullen immers steeds beter hun weg naar de GBA vinden, onder andere omdat verwerkingsverantwoordelijken in hun privacy policy expliciet de contactgegevens van de GBA moeten vermelden en omdat de GBA zelf langzaamaan op volle kracht zal kunnen werken.

Overige cijfers

Enkele andere vrijgegeven cijfers die toch ook opmerkelijk zijn tonen dat de GBA in de eerste zes maanden kennis kreeg van:

  • 3599 informatieverzoeken (vergeleken met 2145 informatieverzoeken in 2017)
  • 137 verzoeken om advies (in vergelijking met 44 informatieverzoeken in 2017)
  • 2551 kennisgevingen van de benoeming van een DPO (vergeleken met 989 vóór mei 2018)
Eerste controles aangekondigd

Samen met de publicatie van bovenstaande cijfers, heeft de GBA aangekondigd dat zij de eerste inspecties heeft gestart.  Sacties zijn in eerste instantie nog niet te verwachten, de GBA had vooraf reeds aangekondigd dat zij in eerste instantie raadgevend en waarschuwend wilde werken.  Anders dan in andere EU-lidstaten zijn er voorlopig dus nog geen GDPR-boetes uitgevaardigd.

Ter vergelijking:

In Nederland werden sinds de zomer systematische honderden controles uitgevoerd bij bedrijven uit oa de travel, horeca, communicatie, bouw, industrie, kleinhandel en distributie, bij overheidsdiensten, bij banken en verzekeringen en bij ziekenhuizen en zorgverstrekkers.  Daarbij werd recent nog een dwangsom van 48.000 euro opgelegd aan een bank die niet tijdig inzage verschafte aan haar klanten van de door haar verwerkte persoonsgegevens.

In Frankrijk gebeurden eveneens reeds enkele honderden ambtshalve controles in allerlei sectoren.  De Franse CNIL heeft daarbij voor 2018 op basis van klachten uit het verleden 3 sectoren specifiek in het visier: HR en personeelsgegevens, de immosector en allerlei betaalapps voor publieke parkings (die blijkbaar aanleiding hebben gegeven tot heel wat klachten in 2017).  In Frankrijk werden -net als in Duitsland en het VK overigens- sedert mei tientallen boetes opgelegd, variërende van 10.000 tot 500.000 euro.   Meestal gaat het nog om inbreuken die dateren van vóór 25 mei en die afgehandeld worden onder het oude recht, maar ze zijn in elk geval wel richtinggevend voor de intenties van de overheden in onze buurlanden als het gaat om toezicht op en sanctionering van GDPR-inbreuken…

Meer informatie over de situatie in België, in onze buurlanden en in de rest van de wereld vindt u in de presentatie die wij recent gaven op het Privacy Café van Data Protection Institute.  U kan onze slides bekijken  door hier klikken.

Lees hier het originele artikel