In eerdere publicaties zijn wij reeds uitvoerig ingegaan op de de GDPR en wat er van de verwerkingsverantwoordelijke, verwerker en de betrokkene wordt verwacht, zoals onder meer De GDPR binnen mijn onderneming: geen reden tot paniek, Een datalek: en nu?, Europese GDPR vs Duitse BDSG. Sinds de lancering op 25 mei 2018 is er heel wat veranderd in het privacylandschap. De Belgische Data Protection Authority (DPA), zijnde de Gegevensbeschermingsautoriteit (GBA), heeft recentelijk een eerste rapport gepubliceerd sinds de GDPR van kracht ging. Hierna een korte toelichting. |
De Belgische Data Protection Authority (DPA) heeft een grondige hervorming doorgemaakt om tegemoet te kunnen komen doelstellingen verbonden aan de GDPR. De Privacycommissie werd dan ook omgedoopt tot de Gegevensbeschermingsautoriteit (GBA) die eveneens meer middelen ter beschikking kreeg gesteld om haar taak volwaardig te kunnen volbrengen. Dit is niet ongemerkt voorbijgegaan daar zowel verwerkers, verwerkingsverantwoordelijken alsook betrokkenen sneller van antwoord en begeleiding werden voorzien dan voorheen. Alsook heeft men al geïnvesteerd in sensibilisering bij het publiek inzake privacyrechten.
Datalekken
Sinds 25 mei 2018 zijn 317 datalekken gemeld aan de Gegevensbeschermingsautoriteit. Dit is een enorme toename ten opzichte van vorig jaar, toen er slechts 13 datalekken werden gemeld. Deze stijging is uiteraard te wijten aan het feit dat er op dat moment geen meldingsplicht was (behalve voor telecommunicatiebedrijven of financiële dienstverleners). Voorts werd de melding van een datalek eenvoudiger gemaakt zodat het toegankelijker is voor het publiek.
De top 5 industrieën die datalekken melden zijn: 1) gezondheidszorg, 2) verzekeringssector, 3) overheidsdiensten en defensie, 4) telecommunicatie en postdiensten en 5) financiële diensten.
Informatieverzoeken en klachten
Sinds 25 mei 2018 zijn er 3.599 informatieverzoeken gedaan aan de Gegevensbeschermingsautoriteit. Dit is ook een grote toename ten opzichte van vorig jaar toen er slechts 2.145 informatieverzoeken waren. Er werden 137 adviesdossiers geopend in tegenstelling tot het jaar voordien toen er slechts 44 adviesdossiers werden geopend. Er hebben zich intussentijd al 3.540 functionarissen voor gegevensbescherming (DPO) gemeld bij de Gegevensbeschermingsautoriteit, waarvan de aanstelling een verplichting is in bepaalde gevallen.
Het moge duidelijk zijn dat het privacygebeuren, dankzij de intrede van de Algemene Verordening Gegevensbescherming (AVG), leeft onder de mensen en ondernemers. De Gegevensbeschermingsautoriteit ziet een algehele toename in privacydossiers dat de kaap van 7.000 zal overstijgen tegen het einde van het jaar.
Hoewel bovenstaande cijfers positief onthaald dienen te worden stellen zij weinig voor ten opzichte van onze buurlanden Nederland en Duitsland waar dergelijke cijfers een stuk hoger liggen. In Nederland bijvoorbeeld meldt de Autoriteit Persoonsgegevens (AP) dat er bijna 10.000 mensen een privacyklacht hebben ingediend sinds 25 mei 2018.
Uitvoeren van controles en opleggen van administratieve geldboetes
Hoewel de Gegevensbeschermingsautoriteit meer bevoegdheden en middelen heeft gekregen, neemt men toch weinig sanctionerend optreden van de Gegevensbeschermingsautoriteit waar. Dit in schril contrast met onze buurlanden Nederland en Duitsland. Op heden zijn er nog geen privacydossiers doorgestroomd naar de geschillenkamer voor een behandeling ten gronde. De Gegevensbeschermingsautoriteit treedt dan ook eerder waakzaam op door veeleer te werken met waarschuwingen en termijnen om zich in overeenstemming te stellen met de GDPR dan meteen haar harde hand te tonen en over te gaan tot zware administratieve geldboetes.
Nederland, Verenigd Koninkrijk en Verenigde Staten
In tegenstelling tot België is de Autoriteit Persoonsgegevens (AP) in Nederland wél voor het eerst op 6 november 2018 overgegaan tot het opleggen van een administratieve geldboete van 600.000 EUR aan de alternatieve taxi-dienst Uber B.V. en Uber Technologies, Inc voor het schenden van de meldplicht van een grootschalig datalek in 2016 dat wereldwijd 57 miljoen gebruikers, waaronder 174.000 Nederlanders, had getroffen. Hoewel de GDPR ten tijde van het datalek nog niet van toepassing was gold er al een dergelijke verplichting onder de Nederlandse privacywetgeving die wél van toepassing was.
De Autoriteit Persoonsgegevens (AP) stelt dat (1) Uber B.V. en Uber Technologies, Inc de wettelijke termijn van 72 uur niet hadden gerespecteerd zoals ook staat voorgeschreven in artikel 33 GDPR, alsook betrof het een hoog risico zoals ook staat voorgeschreven in artikel 34 GDPR en (2) Uber B.V. en Uber Technologies, Inc hadden de hackers bovendien een geldsom van 100.000 EUR betaald om het datalek niet publiek te maken en de gelekte data te vernietigen.
In het Verenigd Koninkrijk werden Uber B.V. en Uber Technologies, Inc eveneens voor dezelfde feiten een administratieve geldboete opgelegd van 385.000 Britse Pond (GBP). In de Verenigde Staten hebben Uber B.V. en Uber Technologies, Inc een schikking hieromtrent kunnen treffen van 148.000.000 Amerikaanse Dollar (USD).
Gezien de omvang en het kapitaal van Uber B.V. en Uber Technologies, Inc blijft het de vraag als dergelijke administratieve geldboetes wel afschrikwekkend werken.
Duitsland
Ook in Duitsland is men voor het eerst op 21 november 2018 overgegaan tot het opleggen van een administratieve geldboete van 20.000 EUR aan het sociale netwerk Knuddels.de wegens het onbeveiligd en ongecodeerd opslaan van e-mailadressen, gebruikersnamen en paswoorden. De inbreuken kwamen aan het licht nadat Knuddels.de zélf op 8 september 2018 een datalek meldde bij de Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg. Knuddels.de werkte goed mee met de Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg om het datalek te stoppen en deed alles volgens het boekje maar kreeg alsnog een administratieve geldboete.
De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg stelt dat (1) Knuddels.de de e-mailadressen, gebruikersnamen en paswoorden van gebruikers onversleuteld in “plain text” had opgeslagen hetgeen geen passende technische maatregelen waren ‘om een op het risico afgestemd beveiligingsniveau te waarborgen’ zoals ook staat voorgeschreven in artikel 32 GDPR en (2) Knuddels.de een hogere administratieve geldboete heeft vermeden door nauw samen te werken met de toezichthoudende overheid om het datalek te stoppen alsook door haar infrastructuur onmiddellijk te verbeteren en beter te beveiligen.
Wenst u meer informatie? Aarzel dan niet om ons te contacteren.
Nuttige links
- De Belgische DPA: Gegevensbeschermingsautoriteit
- Zes maanden AVG: een balans
- AP legt Uber boete op voor te laat melden datalek
- ICO fines Uber £385,000 over data protection failings
- California Attorney General Becerra, San Francisco District Attorney Gascón Announce $148 Million Settlement with Uber over 2016 Data Breach and Cover-Up
- Turning the Page on the 2016 Data Breach
- Bijna 10.000 mensen dienen privacyklacht in bij Autoriteit Persoonsgegevens
- Bundes-Datenschutzbeauftragter voor de bondsrepubliek
- LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO