ZES MAANDEN GDPR: DE EERSTE BALANS VAN DE BELGISCHE GEGEVENSBESCHERMINGSAUTORITEIT

Nadat verschillende buitenlandse toezichthoudende autoriteiten al statistieken hadden vrijgegeven, heeft nu ook de Belgische Gegevensbeschermingsautoriteit (“GBA”) een eerste balans opgemaakt.

In het persbericht “Zes maanden AVG: een eerste balans” (te raadplegen via de link) heeft de GBA een aantal interessante cijfers gepubliceerd (cfr. 1) en aangegeven hoe ver het precies staat met de structurele omvorming van Privacycommissie naar GBA (cfr. 2) en de uitoefening van haar controle- en sanctiebevoegdheden (cfr. 3).

Conclusie is dat de GBA stilaan op gang komt, ook op het vlak van inspecties, maar dat zij voorlopig nog niet zo ver lijkt te staan als sommige buitenlandse toezichthoudende autoriteiten (cfr. 4).

1. De eerste cijfers van de GBA

De eerste cijfers van de GBA hebben betrekking op de periode vanaf de inwerkingtreding van de GDPR op 25 mei 2018 tot 21 november 2018. In deze periode zijn er:

  • 317 gegevenslekken gemeld tegenover 13 in 2017 (enkel de telecomsector). De top 5 van de sectoren waarvoor de GBA de meeste meldingen heeft ontvangen ziet er uit als volgt:
  1. Gezondheidszorg;
  2. Verzekeringen;
  3. Openbaar bestuur en defensie;
  4. Telecommunicatie & BIPT (“Belgisch Instituut voor Postdiensten en Telecommunicatie”);
  5. Financiële dienstverlening

    Sinds september heeft de GBA ook haar meldingsformulier (te raadplegen via de link) aangepast om het volledig GDPR-conform te maken.

  • 3.599 informatievragen gesteld tegenover 2.145 in 2017;
     
  • 148 klachten / verzoeken ingediend tegenover 76 in 2017;
     
  • 137 adviesdossiers geopend tegenover 44 in 2017;
     
  • 2.551 meldingen van DPO’s (“functionarissen voor gegevensbescherming”) gebeurd. Met inbegrip van de meldingen vóór 25 mei 2018, gaat het om 3.540 meldingen in totaal.

De GBA meldt eveneens dat onder de GDPR het aantal dossiers exponentieel is toegenomen. Zo behandelde de GBA in 2017 iets minder dan 5.000 kerndossiers (informatie, bemiddeling/klacht en controle), daar waar het aantal kerndossiers in 2018 boven de 7.000 zal liggen.

2. De structurele omvorming van Privacycommissie naar GBA

De GBA geeft in haar persbericht aan dat de structurele omvorming van Privacycommissie naar GBA nog niet volledig is voltooid.

In vergelijking met de vroegere Privacycommissie werd het directiecomité uitgebreid en werd aan het organigram een inspectiedienst en een geschillenkamer toegevoegd.

Gezien de leden van het directiecomité, het kenniscentrum en de geschillenkamer nog niet zijn benoemd door de Kamer van volksvertegenwoordigers, werd echter beslist dat de leden van de Privacycommissie de taken van de GBA voorlopig zullen uitoefenen.

Na haar instelling zal het directiecomité beslissen over het strategisch plan en het beheersplan en daarbij de jaarlijkse prioriteiten van de GBA bepalen. Na opmaak van het strategisch plan zal de GBA vervolgens haar visie en missie publiceren.

3. De uitoefening van de controle- en sanctiebevoegdheden

De GBA heeft niet gewacht tot de aanstelling van het nieuwe directiecomité voor de uitoefening van haar inspectietaken. Volgens het persbericht zijn de eerste inspecties ondertussen aan de gang.

Er zijn voorlopig echter nog geen dossiers doorgestroomd naar de geschillenkamer voor behandeling ten gronde en nog geen administratieve sancties opgelegd.

4. Controle en sancties door buitenlandse autoriteiten

Dat een aantal buitenlandse toezichthouders al wat verder staan, wekt geen verbazing. Velen onder hen hadden immers ook voor de GDPR al meer verregaande bevoegdheden dan de Belgische toezichthouder. Zo werden inmiddels in een aantal landen de eerste administratieve geldboetes in toepassing van de GDPR al uitgedeeld: in Frankrijk werd al een boete van 10.000 EUR uitgedeeld aan een onderneming die niet over een gepaste informatiebeveiliging beschikte en 30.000 EUR aan een werkgever die een biometrisch systeem gebruikte om de arbeidstijd van werknemers te controleren zonder hen daarover geïnformeerd te hebben. In Oostenrijk werden er in toepassing van de GDPR al vier boetes uitgedeeld, variërend van 300 tot 4.800 EUR, telkens wegens camerabewaking die niet in lijn met de wet was geïmplementeerd. In een recent geval in Duitsland werd een social media bedrijf gesanctioneerd met een boete van 20.000 EUR omdat er geen passende informatiebeveiligingsmaatregelen waren genomen door het bedrijf met een succesvolle hacking van gebruikersgegevens tot gevolg. Het relatief lage bedrag van de boete werd verklaard door de goede medewerking van het bedrijf met de toezichthouder. De hoogste GDPR-boete tot dusver bekend werd uitgedeeld in Portugal waar een ziekenhuis een boete van in totaal 400.000 EUR opgelegd kreeg omdat het personeel zich zomaar toegang kon verschaffen tot de patiëntengegevens en het ziekenhuis geen systeem in voege had om de vertrouwelijkheid en integriteit van die gegevens te waarborgen.