06 maart 2019 9 maanden GDPR: een stand van zaken
Nu de eerste verjaardag van de inwerkingtreding van de GDPR dichterbij komt, blikken we even terug op de afgelopen 9 maanden. Zonder twijfel heeft menig persoon zich in de beginfase het hoofd gebroken over de concrete implementatie en weerslag van de GDPR-regelgeving. Er heerste grote onduidelijkheid en het was zoeken naar antwoorden in een toen vooralsnog theoretische materie.
Ondertussen is de storm wat gaan liggen (‘de wereld draait verder, toch?’) en lijkt het niet langer te gaan over GDPR-conform worden maar wel blijven. Zijn bedrijven ondertussen inderdaad GDPR-conform?
Onderzoek VRT[i]
Ook de VRT stelde zich die vraag en deed hiernaar een interessant onderzoek. Zij liet op 22 oktober 2018 enkele niet-journalisten (wiens naam geen belletje zou doen rinkelen) een brief sturen naar in totaal 40 winkels, bedrijven en instanties met de vraag welke persoonsgegevens zij van hen bijhielden en wat ze daarmee deden. Na het verstrijken van de antwoordtermijn van 30 dagen maakte de VRT de balans op.
- Vier geadresseerden hadden niet geantwoord.
- Het antwoord van drie geadresseerden was gewoonweg slecht (‘bel ons gerust’, ‘kom gerust langs’).
- De 33 overige geadresseerden antwoordden wel, maar niet 100% volgens de GDPR-regels: zo was het antwoord te vaag (bv. ‘gebruik voor marketingdoeleinden’), te moeilijk, niet in de juiste taal, niet op de juiste manier (bv. via de berichtenmap in onlinebanking), enz.
Dat er veelal slechts geantwoord werd na een rappel – beweerdelijk omdat men de eerste brief niet had ontvangen – maakt bovendien pijnlijk duidelijk dat er onvoldoende interne processen zijn om vragen van betrokkenen, die hun rechten uitoefenen, bij de juiste persoon te krijgen en correct te beantwoorden.
Infografiek Europese Commissie[ii]
Interessante gegevens blijken ook uit een infografiek, die de Europese Commissie publiceerde op basis van cijfers van het Europees Comité voor Gegevensbescherming over de periode mei 2018-januari 2019.
- Alle toezichthoudende autoriteiten samen ontvingen maar liefst 95.180 klachten van betrokkenen.
- De meeste klachten gaan over telemarketing, promotionele e-mails en videobewaking.
- In totaal werden er 41.502 datalekken gemeld aan alle toezichthoudende autoriteiten samen.
- Uit eigen beweging – en dus niet op basis van een klacht van een betrokkene – startten die toezichthoudende autoriteiten 255 ‘cross-border’ onderzoeken op betreffende activiteiten van bedrijven die in meer dan één EU-land worden aangeboden (cfr. het ‘one-stop-shop’-principe).
Boetes
- 600.000,00 EUR: de boete die de Nederlandse Autoriteit Persoonsgegevens aan Uber oplegde wegens het niet melden van een datalek
- 400.000,00 EUR: de boete die een ziekenhuis kreeg opgelegd van de Portugese toezichthoudende autoriteit (CNPD) wegens een te grote toegankelijkheid van patiëntendossiers
- 50.000.000,00 EUR: de boete die de Franse toezichthoudende autoriteit (CNIL) aan Google oplegde wegens o.m. een gebrek aan transparantie/informatie en een gebrekkige toestemming i.k.v. gepersonaliseerde reclame
- 500.000,00 GBP (581.585,00 EUR): de boete die aan Facebook werd opgelegd door de Britse toezichthoudende autoriteit (ICO) n.a.v. het Cambridge Analytica-schandaal.
Conclusie
We mogen wellicht besluiten dat de fase van GDPR-conform worden nog niet achter de rug is. Dat geldt overigens niet alleen voor bedrijven, maar ook voor 5 Europese landen (Bulgarije, Griekenland, Slovenië, Portugal, Tsjechië), waarvan de nationale wetgeving nog niet volledig aan de GDPR werd aangepast.
