GDPR in onze buurlanden: stijgend aantal klachten, effectieve controles en strenge boetes sinds mei 2018

Gisteren hield Data Protection Institute zijn maandelijkse Privacy Café.  Ik was deze maand uitgenodigd als spreker om een update te geven van vijf maanden GDPR-implementatie in België en onze buurlanden, samen met een blik buiten Europa op landen als Japan, China, Brazilië, Californië, … die allemaal in meer of mindere mate op GDPR lijkende databeschermingswetten aan het implementeren zijn. 

Over de ontwikkelingen buiten Europa kon u de voorbije weken op onze blog al heel wat lezen in een aantal bijdragen en ook over de Belgsiche kaderwet publiceerden we al een update.  Vandaag focus ik even op de stand van zaken in onze buurlanden, waarbij de conclusie die ik vooraf al meegeef is dat overal strenger en kordater opgetreden wordt dan bij ons het geval is als het gaat om het doen naleven van de GDPR. 

De Belgische aanpak

Eén van de vaststellingen uit onze eigen praktijk, gekoppeld aan de cijfers uit de rest van Europa is dat België érg ver achterop looopt ten opzicht van onze buurlanden als het aankomt op het voeren van controles, het opvolgen van klachten, het opleggen van boetes en het reageren op aanmeldingen van data breaches enerzijds en DPO-mandaten anderzijds.  Bovendien is er in België na 5 maanden GDPR geen enkel statistisch materiaal ter beschikking dat toelaat om een inschatting te maken van risico’s op en impact van  klachten, controles en boetes.

Dit alles zorgt voor een groeiend gevoel van wetteloosheid, waarom zouden bedrijven immers de wet naleven en daar grote bedragen in investeren als er toch geen enkele controle volgt vanuit de overheid?  Een en ander is overigens een foute evolutie.  Iedereen is immers gebaat bij een level playing field, duidelijkheid en een minimaal niveau van dataveiligheid bij alle bedrijven teneinde oneerlijke concurrentie van bedrijven die het allemaal niet zo nauw denken te moeten nemen met heel die GDPR te vermijden.

Andere EU lidstaten

Hoe anders is het in onze buurlanden gesteld: effectieve proactieve controles, snelle opvolging van klachten en hoge boetes zijn er -voor zover dat voorheen nog niet het geval was onder het oude recht- sinds mei 2018 de standaard.  Bovendien zijn bijvoorbeeld de Authoriteit Persoonsgegevens in Nederland, het CNIL in Frankrijk en de ICO in Engeland een toonbeeld van transparantie.  Stuk voor stuk publiceren ze cijfermateriaal over het aantal klachten en boetes, pesberichten over genomen beslissingen, adviezen in specifieke vraagstukken, resultaten van sectorgebonedn steekproefonderzoeken, …

Het European Digital Rights (EDRi), een non-profitorganisatie voor digitale gebruikersrechten, heeft alle beschikbare statistieken uit acht EU-lidstaten (Frankrijk, Duitsland, Ierland, Italië, Polen, Roemenië, Zweden en het Verenigd Koninkrijk) verzameld. Uit de statistieken blijkt dat sinds de inwerkingtreding van de GDPR op 25 mei 2018 de betrokken Gegevensbeschermingsautoriteiten (GBA’s) duizenden klachten van EU-burgers hebben ontvangen over de implementatie van de GDPR door bedrijven en andere organisaties.

De Britse Information Commissioner’s Office (ICO), leidt het peloton met bijna 15.000 ontvangen klachten (weliswaar vanaf januari 2018 al). Duitsland en Frankrijk volgen in de ranglijst, met respectievelijk 6.555 klachten en 3.767 klachten.   De European Data Perotection Board (EDPB), dat is het overkoepelende adviesorgaan van de nationale GBA’s in de EU, noteerde in totaal  meer dan 42.230 klachten over gegevensbescherming onder GDPR tot op heden en aangezien de GDPR aan EU-burgers de bevoegdheid verleent om zaken rechtstreeks bij de rechtbanken van de lidstaten aanhangig te maken, zal het werkelijke cijfer zelfs nog hoger zijn.  Onder andere in Duitsland zijn zo inmiddels reeds de eerste vonnissen uitgesproken op basis van inbreuken op de GDPR.

Onze buurlanden

In Nederland is de Authoriteit persoonsgegevens al enkele maanden proactief bezig met het onderzoeken of aangemelde DPO’s wel over de vereiste kennis en ervaring beschikken.

Bovendien worden er al maandenlang zeer gerichte controles uitgevoerd in een aantal sectoren, waaronder de reissector, de horeca, de communicatie, banken en verzekeringen, ziekenhuizen en zorgverstrekkers, maarv ook in minder voor de hand liggende sectoren zoals de bouwnijverheid en de industrie wordt streng gecontroleerd.  Dit leidde bijvoorbeeld zeer recent nog tot het opleggen van een dwangsom van 48.000 euro aan een bank die naliet tijdig in te gaan op inzageverzoeken van haar klanten.

Het aantal geregistreerde klachten in Nederland bedraagt volgens de AP zo’n 500 per maand op dit ogenblik.

Een gelijkaardig verhaal in Frankrijk, waar de CNIL een stijgend aantal klachten noteert uit het hotelwezen, de autoverkoop en de online marketing en recent boetes oplegde van 10.000 tot maar liefst 250.000 euro aan bijvoorbeeld een optiekketen en een touroperator die door onzorgvuldigheid een data breach ondergingen of aan een bedrijf uit de chemische industrie dat zonder gepast wettelijk kader biometrische gegevens van haar personeel (vingerafdrukken en irisscans) verwerkte met het oog op toegang tot en veiligheid binnen haar bedrijfsterreinen. Een aantal van die boetes zijn wel nog gebaseerd op de oude versie van de Franse wet, zoals die bestond pre-GDPR, maar de beslissingen dateren allemaal van na eind mei 2018.  De CNIL noteert sinds mei 2018 750 klachten per maand.

De ICO in het VK doet er nog een schepje bovenop als het over het opleggen van boetes gaat.  500.000 GBP boete voor Facebook was recent het hoogste bedrag, omwille van een potentieel veiligheidslek bij Facebook (dat zelfs nog niet tot dataverlies had geleid).  Ook British Telecom, Yahoo, de British and Foreign Bible Society en een kleiner online marketing bedrijf kregen recent boetes opgelegd van 77.000 tot 250.000 GBP.

 Opvolging

Het zal belangrijk zijn om nauwlettend te volgen of en hoe dit hoge aantal klachten zich in de komende maanden vertaalt in handhavingsacties en trends, en of de inzichten die kunnen worden ontleend aan een dergelijke hoeveelheid klachten kunnen leiden tot aanvullende verduidelijkende richtlijnen van de EDPB of andere Gegevensbeschermingsautoriteiten.

Bovendien is het voor bedrijven die in verschillende Europese landen actief zijn toch belangrijk om de situatie in die landen op te volgen.  Het is immers niet uitgesloten dat, ondanks het lakse controlebeleid in België, klachten die bij overheden in onze buurlanden zouden binnenkomen tegen zulke bedrijven toch tot boetes zouden leiden.  Waakzaamheid is dus zeker geboden.

Vragen over GDPR in de EU en daarbuiten?

Ons team staat u graag te woord op info@siriuslegal.be of op +32 2 721 13 00

De slides van mijn presentatie