De GDPR-databeschermingswet trad ten volle in werking op 25 mei 2018, exact één jaar geleden. Hoever staan we vandaag en hoe zit het met de gevreesde 4%-omzetboetes?
25 mei 2018 werd aangekondigd als een hedendaagse versie van de Y2K-bug. De wereld zou er plots anders uitzien, systemen moesten worden aangepast en alles en iedereen die data verwerkte, zou getuige zijn van een aardschok. De cijfers voor België doen evenwel iets anders vermoeden.
Hoe pakken ze het in de buurlanden aan?
In België zijn sinds de invoering van de GDPR naar schatting 3.500 informatievragen gesteld door consumenten aan bedrijven, 442 datalekken gemeld, een 150-tal klachten of verzoeken ingediend en meer dan 100 adviesdossiers geopend. Momenteel zijn er in ons land ook (slechts) 3.540 Data Protection Officers (DPO’s) aangesteld door bedrijven, die erop toekijken dat de data bewaard en verwerkt worden volgens de regels van de GDPR.
Deze cijfers lijken misschien een goede start, maar toch is er nog altijd werk aan de winkel. De nood aan advies en begeleiding blijft hoog. Bovendien is er tot op heden, ondanks enkele zeer publieke datalekken, nog geen enkele GDPR-boete uitgedeeld. Deels komt dat omdat de privacycommissie op voorhand uitvoerig benadrukte dat boetes pas na waarschuwingen en in uitzonderlijke gevallen zullen voorkomen. Een andere belangrijke reden is dat de Kamer pas op 29 maart 2019 (bijna 1 jaar na datum) een GDPR-directie benoemde voor België (Belgian Data Protection Authority). Nogal laat.
In eigen land komt de controle op de GDPR traag op gang, of zo lijkt het toch. Om de situatie in België in perspectief te plaatsen, kijken we ook even naar hoe onze buurlanden ervoor staan.
1. Nederland
In Nederland, bijvoorbeeld, hebben ongeveer 400 overheidsorganisaties elk een DPO. Sinds juli 2018 zijn er steekproeven gestart in diverse sectoren rond de aanwezigheid van een register van verwerkingsactiviteiten. Sinds augustus 2018 controleert de lokale Data Protection Authority (DPA) ook datagevoelige sectoren zoals ziekenhuizen en zorgverleners of financiële instellingen op de aanwezigheid van een verplichte DPO.
Hun DPA heeft in 2018 in totaal 20.881 meldingen van datalekken binnengekregen, waarvan een derde in de gezondheidszorg. Dat is volgens de toezichthouder meer dan een verdubbeling ten opzichte van het jaar daarvoor.
Er zijn eveneens al 4 boetes uitgedeeld: een bank (48.000 euro wegens een inbreuk op het recht tot inzage), de Nationale Politie (40.000 euro voor nalatigheid bij cybersecurity), Uber (600.000 euro voor een datalek waarbij 174.000 Nederlandse chauffeurs en klanten betrokken waren) en een zorgverzekeraar (50.000 euro wegens te weinig controle op wie medische dossiers kan inkijken).
Conclusie: Nederland gaat aan de slag met de nieuwe wetgeving en durft daarbij kordaat op te treden. Bovendien zijn ze niet bang van officiële instanties of grote bedrijven.
2. Frankrijk
Bij onze zuiderburen werden het afgelopen jaar al meer dan 20 boetes uitgedeeld. Enkele van de meer opvallende: een webshop (250.000 euro voor securityproblemen), een overheidsinstelling (75.000 euro, eveneens securityproblemen), een toeristische dienst (30.000 euro voor het gebruik van persoonsgegevens voor andere doeleinden dan voorzien), een callcenter (10.000 euro voor het loggen van telefoongebruik en biometrische gegevens zonder toestemming van de werknemers), de stad Parijs (30.000 euro wegens een datalek), Bouygues Telecom (250.000 euro voor een datalek) en Google (50 miljoen euro; de eerste GDPR-boete aan een multinational uit naam van 10.000 burgers wegens dataverwerking die niet strookte met de GDPR).
In Frankrijk worden grote bedrijven en overheidsinstanties eveneens niet ontzien. Frankrijk heeft als belangrijk lid van de Europese Unie dan wel een groter moreel gezag dan bijvoorbeeld Nederland, maar het toont niettemin aan dat ze de wet implementeren én afdwingen. Zelfs grootstad Parijs moest zich het afgelopen jaar verantwoorden voor een commissie.
3. GDPR in de rest van Europa
Ook in Groot-Brittannië werden al meer dan dertig boetes uitgedeeld, waarvan de meest in het oog springende gevallen tot ruim 2,5 miljoen euro opliepen. De grootste namen hier zijn Facebook, Yahoo en enkele… overheidsinstanties. De Europese agentschappen voor gegevensbescherming hebben tot nu toe voor in totaal 56 miljoen euro boetes opgelegd uit meer dan 200.000 gemelde gevallen in 31 Europese landen… waarvan 50 miljoen euro voor Google (Frankrijk).
Aan het 'opwarmen'
Alle genoemde landen maken werk van de handhaving van de gegevensbeschermingsregulering van een jaar geleden, zonder hierbij de eigen instanties te ontzien. Met als grootste wapenfeit de boete van 50 miljoen euro voor Google kunnen we wel degelijk enkele grote kanttekeningen zetten bij de daadwerkelijke impact van de GDPR. De 4%-claim valt relatief gesproken nog mee, maar de betrokken instanties laten wel weten dat ze nog maar aan het 'opwarmen' zijn.
Toch lijkt die opwarming in België voorlopig eerder een maat voor niets. Het feit dat er tot veertig keer meer datalekken worden gemeld in Nederland ten opzichte van België is food for thought. Het maakt pijnlijk duidelijk dat de verschillende overheidsinstanties nog steeds niet klaar zijn om op te treden met controles en (indien nodig) boetes. Hoog tijd dus dat de GDPR-commissie uit de startblokken schiet. Zo niet zullen vele bedrijven zich beginnen afvragen waarom ze al die moeite hebben gedaan om op tijd klaar te zijn.