Inloggen   Zoeken   Home    Contact

FRNL

GDPR: niet in regel is geen optie meer

De GDPR-richtlijn rond het verzamelen en omgaan met persoonsgegevens bestaat intussen twee jaar. In een webinar blikten de leden van de Legal Expert Hub (LEG) bij BAM terug op de periode. “De speeltijd is gedaan.”

 

legal_v2

 

25 mei 2018. Een datum die velen niet gauw zullen vergeten. Het was dag 1 van een wereld mét GDPR, de befaamde Europese richtlijn die het omgaan met persoonlijke gegevens regelt. Voortaan had elk bedrijf een DPO, processen om om te gaan met datalekken en een register van alle manieren waarop persoonsgegevens worden verzameld.

“In de periode voorafgaand aan dit moment, maar ook de eerste maanden erna vroegen heel wat mensen zich af of er wel iets zou veranderen. Ondertussen weten we het. GDPR is echt wel een realiteit. De overheid ziet streng toe op de toepassing ervan.” Aan het woord is Jan Decorte, Associate Partner van EY Law en lid van de Legal Experts Group (LEG) binnen BAM.

Wie niet beantwoordt aan de voorwaarden met betrekking tot het gebruik en de verwerking van persoonsgegevens riskeert inderdaad zware boetes, die kunnen oplopen tot 5% van de wereldwijde omzet van een bedrijf. Het leidde ertoe dat in Europa o.a. British Airways al een sanctie van 25O miljoen euro opliep. Hotelketen Marriott volgt met 110 miljoen en Google kreeg al 50 miljoen aangesmeerd.

3 x 50.000 euro

Ook in België toont de gegevensbeschermingsautoriteit zich actief, nadat ze in de beginmaanden na de start van GDPR een moeilijke start kende (de overheid slaagde er niet in deze structuur tijdig te bemannen). Het zorgde tot nu toe voor o.a. 3 boetes van 50.000 euro, voor Proximus, DKV en socialenetwerksite Twoo.     

Daarnaast is er natuurlijk ook het – niet te berekenen – effect op de reputatie van je bedrijf. Vertrouwen is steeds meer een asset. Juist omgaan met de gegevens van je klanten en consumenten kan je zo een competitief voordeel opleveren. “Je moet GDPR dus niet enkel als iets negatiefs zien”, besluit Jan Decorte. “Het kan net een troef zijn.”

Daarbij is het natuurlijk belangrijk om die gegevens ook te beschermen tegen een cyber attack. Volgens Charlotte De Raef, Partner bij KOAN, zal deze business in 2022 goed zijn voor maar liefst 133 miljard dollar aan inkomsten. Ook hier heeft de Europese Unie trouwens een directive (NIS), die het belang hiervan onderlijnt.

Cookies extra aandachtspunt

Een apart aspect van GDPR is het cookiebeheer. Volgens Bart Van de Brande, advocaat bij Sirius Legal en lid van LEG, is zo’n 80 à 90% van de websites in Europa niet in orde met de GDPR-regels en de cookiewet die dateert uit 2012. “Bijna de helft van de ‘overtreders’ vult keuzevakjes (bv. voor het ontvangen van een nieuwsbrief of commerciële aanbiedingen) op voorhand in. En in bijna 7% van de gevallen is er geen manier tot opt-out.

“Ook hier mengt de gegevensbeschermingsautoriteit zich steeds meer”, klinkt het bij Bart Van de Brande. “Zo was er een boete van 15.000 euro voor Jubel.be en van 30.000 voor luchtvaartmaatschappij Vueling. Vooral de eerste boete is opmerkelijk. De site gebruikte een automatische tool voor de cookies (een zogenoemde cookiebot, nvdr.), maar die werd niet juist gebruikt.”

De discussie rond cookies is zeer belangrijk. Ook het bijhouden van data in Google Analytics hoort hier immers bij. Ook hiervoor is toestemming nodig en daar wringt het schoentje. Bart Van de Brande: “Heel wat consumenten geven hun toestemming niet en straffen daarmee ook zichzelf. Surfgedrag helpt immers om websites beter en meer aangepast aan de surfer te maken. Vanuit BAM werken we aan een standpunt vanuit de sector. Toestemming voor cijfers via Google Analytics zou ervoor kunnen zorgen dat 30 tot 70% van de traffic gemist wordt. Het zou ervoor zorgen dat sites geen juist beeld meer kunnen schetsen.”

De speeltijd is gedaan

“Je niet in regel stellen met GDPR is dus geen optie meer”, klonk het als besluit tijdens het webinar. Gerrit Vandendriessche, Partner bij Altius en ook lid van LEG, gaf nog drie tips mee zodat de gegevensbeschermingsautoriteit in ons land het je niet te moeilijk maakt: “Geef datasubjecten die vragen stellen zeker antwoord. In vele gevallen vermijd je zo een klacht. Eens er een vraag om verduidelijking is, werk dan goed samen met de autoriteit en zorg ervoor dat je je fout rechtzet, nog voor er een uitspraak is. Het zal een positieve invloed hebben op de boete.”

Het allerbelangrijkste blijft natuurlijk dat voorkomen beter is dan genezen. Wie zich niet in regel stelt, loopt zware risico’s. Of zoals tijdens het webinar werd geopperd: “De speeltijd is gedaan.”

Benieuwd naar een overzicht van de belangrijkste sancties van de gegevensbeschermingsautoriteiten in Europa (door EY Law)? Klik hier.

 

Over dit artikel:

Publicatiedatum: 8 juli 2020

Redacteur: Bart Lombaerts