UPDATE JUNI 2020: We hebben een recentere versie van dit artikel gepubliceerd. Lees: 2 jaar GDPR: een overzicht van handhaving, waarschuwingen en boetes
Ongeveer een jaar geleden, op 25 mei 2018, werd de Algemene Verordening Gegevensbescherming (AVG in het Nederlands of GDPR in het Engels) van toepassing na een tweejarige overgangsperiode. Tijdens deze overgangsperiode kregen organisaties de tijd om zich voor te bereiden op de nieuwe regels inzake de verwerking van persoonsgegevens.
Toch bleek deze tweejarige overgangsperiode niet voldoende voor sommige organisaties om hun verwerkingen van persoonsgegevens in overeenstemming te brengen met de GDPR. De vraag rees dan ook of en hoe de toezichthoudende autoriteiten – die boetes kunnen opleggen – zouden optreden tegen deze organisaties. Deze maand zijn we één jaar verder en maken we een balans op van de handhavingsacties door de toezichthoudende autoriteiten doorheen de EU.
De Belgische toezichthoudende autoriteit – de Gegevensbeschermingsautoriteit (GBA) liet weten dat er een exponentiële toename was van het aantal dossiers in 2018. De informatieaanvragen verdubbelden bijna en de meldingen van datalekken steeg van 13 tijdens het volledige jaar 2017 naar 317 sinds mei 2018, wellicht omdat voorheen de meldplicht enkel voor de telecomsector gold, terwijl die nu is uitgebreid naar alle sectoren. Om tegemoet te komen aan de informatieaanvragen werkt de GBA haar website geleidelijk aan bij en publiceert zij aanbevelingen of nota’s, zoals een overzicht van de begrippen verwerkingsverantwoordelijke en verwerker.
De Belgische toezichthoudende autoriteit is niet de enige autoriteit die sinds het begin van de GDPR een stijging in het aantal dossiers, waaronder meldingen van datalekken, heeft gemerkt. Bijvoorbeeld, de Britse toezichthoudende autoriteit noteerde een stijging van 160% in het aantal meldingen en de Franse autoriteit een verdubbeling.
Ook op het niveau van de European Data Protection Board (EDPB) – de opvolger van de Artikel 29-werkgroep – werd de periode nadat de GDPR van kracht werd van nabij opgevolgd. De EDPB liet in oktober 2018 weten dat de eerste vijf maanden druk waren geweest voor de autoriteiten. Er waren destijds 162 grensoverschrijdende zaken bezig en er werden in totaal ongeveer 80.000 datalekken gemeld. Daarnaast zouden er 15 one-stop shop procedures en 233 procedures over de wederzijdse bijstand tussen toezichthoudende autoriteiten aan de gang zijn.
Een jaar nadat de GDPR van kracht werd, zijn deze cijfers enkel maar gestegen. De voorzitter van de EDPB vat het eerste jaar GDPR als volgt samen (vrije vertaling):
Het was een uitdagend eerste jaar, maar we hebben de doelstellingen bereikt die we wilden bereiken, en we zijn van plan om zowel het werk als het tempo aan te houden. Eerder dit jaar heeft de EDPB haar werkprogramma voor 2019 en 2020 aangenomen. We zullen ook verschillende grensoverschrijdende zaken zien die door de nationale autoriteiten worden uitgevoerd en die in de komende maanden tot een eindresultaat zullen leiden. Last but not least willen we blijven luisteren naar en samenwerken met de mensen die ons de beste inzichten kunnen geven in de dagelijkse praktijk van gegevensverwerking. Een ambitieus programma, maar ik ben er zeker van dat wij als Europese gegevensbeschermingsautoriteiten steeds meer synergieën zullen vinden die onze doeltreffendheid zullen vergroten.
Sommige toezichthoudende autoriteiten, zoals de Nederlandse, hebben verkennende onderzoeken gestart nadat de GDPR van kracht werd. In de zomer van 2018 vroeg de Nederlandse toezichthoudende autoriteit – de Autoriteit Persoonsgegevens (AP) – 30 willekeurige organisaties om hun register van verwerkingsactiviteiten voor te leggen. Het ging om grote private organisaties uit verschillende sectoren. Ze kregen enkele weken de tijd om hun register voor te leggen.
Later in 2018 publiceerde de AP een vijftal concrete aanbevelingen voor het bijhouden van het verwerkingsregister. Een opvallende aanbeveling is dat de AP organisaties aanraadt om in het verwerkingsregister aan te geven op welke locatie of in welk bestand persoonsgegevens bewaard worden en dit op te nemen in het verwerkingsregister. Deze informatie is volgens de AP relevant bij een verzoek om inzage of verwijdering, maar dit is geen verplicht op te nemen informatie op grond van artikel 30 van de GDPR. Daarnaast mogen verwerkingsverantwoordelijken ook niet vergeten om hun contactgegevens te vermelden in het verwerkingsregister zoals vereist door de GDPR, maar vaak vergeten in de praktijk.
Andere verkennende onderzoeken in deze reeks hadden betrekking op de verwerkersovereenkomst bij 30 organisaties en het datalekregister bij 26 overheidsorganisaties. Uit dat laatste verkennend onderzoek bleek dat slechts 60% van de onderzochte overheidsorganisaties een datalekregister had dat voldeed aan de vereisten, waarna de Nederlandse toezichthoudende autoriteit een tiental praktische tips formuleerde. Deze hebben onder meer betrekking op de duidelijke omschrijving en classificatie van incidenten, het nemen van preventieve en corrigerende maatregelen, transparante communicatie naar getroffen personen en het geven van training aan medewerkers.
Naast het verkennend onderzoek van de Nederlandse autoriteit, kwamen in 2018 ook de eerste handhavingsacties van andere autoriteiten.
Autoriteit | Aan wie? | Waarom? |
Italiaanse (Garante) | Twee bedrijven (Faiella Nicola en Visirun) die gebruik maakten van een geolocatiesysteem in bedrijfswagens. | Er werd niet onmiddellijk een boete opgelegd door de Garante. De twee bedrijven moesten wel enkele maatregelen nemen, namelijk dat werknemers het systeem konden uitzetten buiten de werkuren, een sticker op de ruit plakken, en de toegang tot het geolocatiesysteem beperken. |
Britse (ICO) | Canadees bedrijf AggregateIQ Data Services Ltd. (AIQ) | Ook hier werd er niet onmiddellijk een boete opgelegd. AIQ gebruikte persoonsgegevens die het ontvangt van haar klanten, voornamelijk politieke partijen, voor gerichte politieke reclamecampagnes (in dit geval over de Brexit). De ICO oordeelde dat AIQ hiermee moest stoppen omdat de betrokkenen hiervan niet werden geïnformeerd en AIQ hiervoor geen wettelijke grondslag had. |
Franse (CNIL) | Twee bedrijven (Teemo en Fidzup) | De twee bedrijven steunden zich voor het personaliseren van reclame op een ongeldige toestemming van de betrokkenen. Beide bedrijven werden aangemaand om zich binnen drie maanden in regel te stellen met de geldende wetgeving, waaronder de GDPR. |
Hoewel er in 2018 al sprake was van een eerste (voorzichtige) handhaving door verschillende toezichthoudende autoriteiten, lijken de toezichthoudende autoriteiten in 2019 een versnelling hoger te schakelen, met als voorbeeld bij uitstek de miljoenenboete voor Google in Frankrijk. De Franse toezichthoudende autoriteit – la Commission Nationale de l'Informatique et des Libertés (CNIL) – had aan Google een boete van € 50 miljoen opgelegd, onder meer voor een gebrek aan transparantie, onvoldoende informatie aan de betrokkenen en voor het ontbreken van geldige toestemming voor het personaliseren van reclame.
Interessant aan deze zaak was dat het one-stop shop mechanisme niet werd toegepast door de CNIL omdat de Ierse vestiging van Google – het Europese hoofdkantoor – volgens de CNIL geen beslissingsbevoegdheid had over de grensoverschrijdende verwerkingsactiviteiten van Google op het moment dat de procedure werd ingeleid. Elke toezichthoudende autoriteit bleef dus bevoegd, aldus de CNIL. Het is trouwens op dit moment ook nog niet duidelijk of het one-stop shop mechanisme een invloed heeft op de mogelijkheid om een procedure op te starten voor de rechtbank. Dit is namelijk één van de prejudiciële vragen in de zaak GBA tegen Facebook die onlangs naar het Hof van Justitie werd verwezen.
Met betrekking tot het opleggen van boetes heeft de Nederlandse toezichthoudende autoriteit (de AP) in maart 2019 haar boetebeleidsregels aangepast en in overeenstemming met de GDPR gebracht. Zij heeft zich hiervoor gebaseerd op de eerder in 2017 gepubliceerde richtsnoeren aangenomen door de Artikel 29-werkgroep.
Voor inbreuken op de GDPR – de AP staat ook in voor de handhaving van andere privacygerelateerde wetgeving – onderscheidt de AP vier categorieën. Elke categorie heeft een basisboete die naar boven of naar beneden kan worden bijgesteld naargelang de omstandigheden. Bijvoorbeeld, een inbreuk op artikel 30 van de GDPR (over het verwerkingsregister) wordt gesanctioneerd met een boete van de tweede categorie waarvoor een basisboete van € 310.000 geldt. Voor deze categorie kan de basisboete vervolgens naargelang de omstandigheden worden verminderd tot € 120.000 of vermeerderd tot € 500.000.
Naast onze Zuiderburen en Noorderburen hebben ook de GBA en andere toezichthoudende autoriteiten niet stil gezeten. Hoewel al bleek dat sommige autoriteiten in het verleden een waarschuwing gaven, legden ze soms ook een administratieve geldboete op. Hieronder volgt een bloemlezing van verschillende boetes die door hen in 2018 en 2019 werden opgelegd gerangschikt volgens de hoogte van de boete.
Autoriteit | Boete | Aan wie? | Waarom? |
€ 2.000 | Een burgemeester | Voor het schenden van het finaliteitsbeginsel. De burgemeester beantwoordde een e-mail aan hem gestuurd voor het vastleggen van een afspraak met verkiezingspropaganda. | |
€ 3.000 | Een lokale uitgeverij | Voor het publiceren van de naam en foto van politieagenten terwijl dat onder deze omstandigheden niet proportioneel was. | |
€ 5.000 | Een lokaal ziekenhuis | Voor het verliezen van een patiëntendossier. | |
€ 5.280 | Een Oostenrijks sportweddenschapscafé | Voor inbreuken met betrekking tot beveiligingscamera’s. Deze camera’s zouden zijn gericht op publiek domein, zoals de straat en parking, en de beelden zouden te lang bijgehouden worden (meer dan 72 uren zonder verantwoording). Dat is een inbreuk op het principe van opslagbeperking. | |
Duitse (LfDI) | € 20.000 | Een Duits sociaal netwerk (knuddels.de) | Voor het niet nemen van gepaste technische en organisatorische maatregelen. In dit geval werden wachtwoorden in volle tekst bewaard (onlangs bleek trouwens dat ook Facebook dit heeft gedaan, hetgeen nu wordt onderzocht door de Ierse autoriteit). |
€ 61.500 | Een aanbieder van een betalingsinitiatiedienst | Voor het verzamelen van meer gegevens dan nodig en die langer te bewaren dan nodig (216 dagen in plaats van 10 minuten) en voor het niet melden van een datalek. Dergelijke betalingsinitiatiediensten zijn trouwens nieuw sinds de Richtlijn (EU) 2015/2366 over betalingsdiensten (PSD2). | |
€ 160.000 (omgerekend) | Een Deens taxibedrijf (Taxa 4x35) | Voor het langer bijhouden van persoonsgegevens dan nodig, meer bepaald doordat het telefoonnummer een essentieel onderdeel uitmaakte van het systeem van het taxibedrijf. | |
€ 200.000 (omgerekend) | Een Deense meubelfabrikant (IDDesign) | Voor het niet documenteren van bewaartermijnen, het niet naleven van de vooropgestelde bewaartermijnen en het langer bijhouden van persoonsgegevens dan nodig. Lees meer. | |
€ 220.000 (omgerekend) | Een internationaal data analytics bedrijf (Bisnode) | Voor een schending van de informatieplicht. Het bedrijf in kwestie moest binnen drie maanden 6 miljoen betrokkenen alsnog informeren. | |
€ 250.000 | Een Spaanse voetbalcompetitie (La Liga Santander) | Voor het onvoldoende informeren over het inschakelen van de microfoon en geolocatie via de La Liga app om illegale uitzendingen van voetbalwedstrijden te kunnen lokaliseren. | |
€ 400.000 | Een lokaal ziekenhuis (Centro Hospitalar Barreiro Montijo) | Voor het niet nemen van gepaste technische en organisatorische maatregelen. Het ziekenhuis zou negen sociaal werkers toegang hebben gegeven tot bepaalde medische gegevens en ook de toegangsrechten tot deze gegevens werden onzorgvuldig toegekend. Terwijl er 296 artsen in het ziekenhuis werkten hadden vier keer meer medewerkers wel dezelfde toegangsrechten als hen. | |
€ 460.000 | Een lokaal ziekenhuis (HagaZiekenhuis) | Voor het niet nemen van gepaste technische en organisatorische maatregelen. Het onderzoek kwam er nadat tientallen medewerkers het medisch dossier van een bekende Nederlander hadden geraadpleegd. Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt en moet tweefactorauthenticatie invoeren. | |
€ 600.000 | Een Amerikaanse vervoersapp (Uber) | Voor het niet melden van een datalek binnen 72 uur. Hoewel het ging om een datalek in 2016, baseerde de AP zich op nationale wetgeving en de GDPR voor het opleggen van deze boete. | |
Dwangsom (max. € 900.000) | Een Nederlands ziekteverzuimportaal voor werkgevers | Om meer maatregelen te nemen voor de beveiliging van de toegang tot het ziekteverzuimportaal voor werkgevers, minstens door meerfactorauthenticate toe te passen. | |
€ 243,47 miljoen | Een Britse luchtvaartmaatschappij (British Airways) | Het niet nemen van passende maatregelen, want het bedrijf werd slachtoffer van een cyberaanval waarbij gegevens van 500.000 betrokkenen werden gestolen. Lees meer. |
*De gemarkeerde items zijn na publicatiedatum aan dit overzicht toegevoegd. Laatste update: 7 augustus 2019
Hoewel de meeste toezichthoudende autoriteiten relatief mild zijn geweest in 2018, gaven sommige autoriteiten, waaronder de Belgische GBA, aan dat ze in 2019 strenger zullen optreden. In april 2019 legden de nieuwe leden van de GBA hun eed af voor de Kamer van Volksvertegenwoordigers. De nieuwe voorzitter van de GBA liet tegelijkertijd weten dat de GBA een tandje zal bijsteken om de naleving van de GDPR te verzekeren en dat boetes daar ook bij kunnen horen. De overgangsperiode is nu immers al een tijdje voorbij. De mededeling van de nieuwe voorzitter werd recent kracht bijgezet door het opleggen van de eerste GDPR boete in België.
Ook de voorzitter van de Nederlandse AP liet weten dat de autoriteit zich in 2018 voornamelijk gericht heeft op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf, maar dat in 2019 klachten vaker zullen leiden tot een onderzoek en mogelijke sancties.
Dat er waarschijnlijk meer boetes staan aan te komen, blijkt ook uit de verklaringen van de Ierse toezichthoudende autoriteit – de Data Protection Commission (DPC) – in de Amerikaanse Senaat. Tijdens een hoorzitting liet de Ierse autoriteit verstaan dat er momenteel 51 grootschalige onderzoeken aan de gang zouden zijn. Van deze 51 onderzoeken zouden er zich 17 toespitsen op technologie giganten zoals Apple, WhatsApp, Instagram en Facebook. Tegen deze laatste stelde de DPC al eens een onderzoek in en Facebook werd ook al verschillende keren om uitleg gevraagd over datalekken, maar tot een boete kwam het nog niet.
Tot slot stelt zich de vraag of deze boetes verzekerbaar zijn, want bij zware of herhaaldelijke schendingen van de GDPR kan de boete immers oplopen tot maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.
Een geldboete voor een inbreuk op de GDPR opgelegd door een toezichthoudende autoriteit is een administratieve geldboete en kan in principe wel worden verzekerd in België. Vervolgens stellen zich twee vragen, namelijk:
Lang niet elke verzekeringspolis dekt zomaar administratieve geldboetes, maar er zijn cyberpolissen op de verzekeringsmarkt die dergelijke administratieve GDPR geldboetes wel dekken. Helaas zal echter de dekking van de verzekeringspolis in de meeste gevallen niet hoog genoeg zijn om een eventuele maximumboete onder de GDPR volledig te dekken.
Bijkomend aan een geldboete kan er ook schade zijn veroorzaakt aan de betrokkenen (bijvoorbeeld door een datalek). Voor deze gevallen zou de klassieke aansprakelijkheidsverzekering kunnen worden aangesproken. Naast schade aan betrokkenen kan er soms ook schade zijn aan de eigen informaticasystemen, bijvoorbeeld als gevolg van hacking. Voor deze schade kan eventueel de cyberpolis voor eigen schade worden aangesproken.
UPDATE JUNI 2020: We hebben een recentere versie van dit artikel gepubliceerd. Lees: 2 jaar GDPR: een overzicht van handhaving, waarschuwingen en boetes
Meer weten over GDPR compliance en het voorkomen van boetes? Neem contact op met Timelex.