-
Zetel Antwerpen
Th. Van Rijswijckplaats 7
2000 Antwerpen
T 03 203 44 00
F 03 232 79 37 -
Zetel Kempen
Kleinhoefstraat 6
2440 Geel
T 014 63 95 70
Ondernemingsnummer BE0627 844 475
Sociaal recht, GDPR, Controle
Heeft u een website of bent u een KMO? Wees gewaarschuwd: de Gegevensbeschermingsautoriteit ziet (en controleert) u!
11 april 2023
Wat weet u nog over de GDPR? Het zou zomaar een vraag kunnen zijn in ‘De Slimste Mens Ter Wereld’. Op 25 mei 2018 zijn namelijk de Europese regels inzake privacy in werking getreden via de General Data Protection Regulation (GDPR). Sinds de inwerkingtreding van deze regels is de bewustwording rond gegevensbescherming sterk toegenomen. De Belgische Privacycommissie werd omgedoopt tot de Gegevensbeschermingsautoriteit (GBA) en kreeg de opdracht burgers en bedrijven te ondersteunen op het gebied van gegevensbescherming en de naleving van de GDPR te controleren.
Het initiatief tot controle door de GBA kan pro- of reactief zijn en de GBA kan daarom zowel na een concrete klacht van een betrokkene als op eigen initiatief een onderzoek instellen. In het strategisch plan van de GBA werden cijfers en prognoses van de informatie-aanvragen en klachten gepubliceerd. Hieruit blijkt dat velen de weg hebben gevonden naar de GBA. De kans dat de GBA in de toekomst meer controles zal uitvoeren, lijkt in ieder geval groot.
In de tekst van het strategisch plan geeft de GBA haar prioriteiten voor de komende zes jaar aan. Daarbij wordt de aandacht vooral toegespitst op vijf belangrijke sectoren: de sector telecommunicatie en media, de overheid, direct marketing, het onderwijs en KMO’s. Daarnaast zal de GBA zich ook toeleggen op een aantal belangrijke maatschappelijke thema’s zoals gegevensbescherming online en gevoelige gegevens (zoals biometrische gegevens, gezondheidsgegevens enz.).
Als we de sectoren die de GBA als prioritair beschouwt tegen het licht houden, kunnen we besluiten dat er slechts één sector is waarin bouwbedrijven zouden geviseerd kunnen worden: de KMO’s. De GBA geeft aan dat zij in de komende zes jaar kleine en middelgrote ondernemingen wenst te begeleiden aan de hand van eenvoudige, duidelijke en gemakkelijk te gebruiken richtsnoeren en tools.
Met andere woorden: de GBA zal zich, alleszins in een eerste beweging, nog niet repressief opstellen ten aanzien van de KMO’s.
Om haar leden voor te bereiden op de inwerkingtreding van de GDPR heeft de Embuild Antwerpen reeds in januari en februari 2018 meerdere infosessies te geven doorheen de provincie. Aansluitend stelde Embuild modeldocumenten online ter beschikking en werd de mogelijkheid geboden om deze onder begeleiding te leren invullen in een van de vele workshops. Van deze mogelijkheid werd gretig gebruik gemaakt door meer dan 200 enthousiaste deelnemers.
In het strategisch plan van de GBA staan ook een aantal thema’s die de komende jaren nauwlettend in het oog zullen gehouden worden. Zo kan het verzamelen van gegevens over internetgebruikers via “cookies” de basis vormen voor het aanleggen van gigantische databanken met gedragsgegevens over al deze internetgebruikers. Deze gegevens kunnen via complexe algoritmes gebruikt worden om het gedrag van de individuele gebruiker te voorspellen of beïnvloeden, wat tal van gevaren met zich mee brengt.
Dat de GBA haar prioriteiten ter harte neemt, mag blijken uit een beslissing van de Geschillenkamer. In de voorliggende zaak werd een bedrijf een boete van 15.000 euro opgelegd wegens een aantal inbreuken op de GDPR de e-privacyrichtlijn. De betrokken onderneming beheert een website gespecialiseerd in juridische informatie gericht aan meer dan 35.000 professionals.
Bij het bepalen van de hoogte van de boete werd rekening gehouden met de duur van de inbreuk, het aantal getroffenen en de opzettelijke of nalatige aard van de inbreuk. De boete is zo hoog omdat de GBA vast stelde dat de onderneming in kwestie meerdere inbreuken had begaan, waarvan de meeste slechts na een tweede verwittiging werden opgelost. Voorts tilde de GBA zwaar aan de herhaalde onzorgvuldigheid van de onderneming wat betreft een aantal verplichtingen inzake privacy. Als voorbeeld van deze onzorgvuldigheid haalt de GBA aan dat de onderneming uit eigen beweging van GDPR-conforme naar een bewuste niet-conforme methode is overgeschakeld inzake het verkrijgen van de toestemming van de internetgebruikers met betrekking tot de cookies. Deze en andere (volgehouden) inbreuken verantwoorden volgens de GBA dergelijk hoge boete.
Aangezien de kans groot is dat de GBA in de toekomst meer controles gaat uitvoeren, is het belangrijk om te weten wat men als onderneming kan verwachten bij een onderzoek en hoe men zich kan voorbereiden.
Hieronder vindt u een brochure over wat u kan verwachten van een GDPR inspectie.