Le RGPD un an après : quels enseignements, et quelles perspectives ?

AVG een jaar later: welke lessen en welke vooruitzichten?

Legal Watch – juni 2019.

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht geworden.

Deze nieuwe tekst heeft geleid tot talrijke veranderingen in de bedrijfsvoering, zowel op het niveau van de interne organisatie als in de contacten met de klanten.

Hoewel gegevensbescherming al sinds 1978 in Frankrijk en sinds 1995 op Europees niveau in het wettelijk kader is verankerd, heeft deze verordening een nieuwe impuls gegeven aan wat zowel een mensenrecht als een economisch probleem is. En de financiële sancties die in de nieuwe tekst zijn opgenomen, zijn daar geen vreemd aan.

Hoe is de praktijk wat betreft naleving en het optreden van de CNIL en haar Europese tegenhangers?

In Frankrijk is er een dramatische toename in het aantal klachten, beveiligingsmeldingen en verzoeken om informatie aan de CNIL. Eind mei publiceerde de toezichthoudende autoriteit een statistisch rapport over dit eerste jaar, waarin meer dan 11.900 klachten (+30 %) en 2.044 meldingen van datalekken werden gemeld. De CNIL blijft ook talrijke zaken onderzoeken, waarvan sommige in samenwerking met haar Europese buren. Zo is de CNIL betrokken bij 800 transnationale procedures.

Terwijl de CNIL bedrijven ondersteunt bij hun naleving, heeft ze ook talloze sancties opgelegd. Laten we er eens een paar nader bekijken:

  • De meest spectaculaire sanctie is ongetwijfeld die tegen Google: het recordbedrag van vijftig miljoen euro.
  • Twee andere, veel bescheidener sancties verdienen echter bijzondere aandacht, omdat ze voor de Raad van State werden gebracht, die de evenredigheid ervan heeft getoetst.
  • In één van de zaken van 17 april 2019 bevestigde de Raad van State de dwangsom van € 75.000: na een aanmaning en herhaalde verzoeken van de CNIL had Adef (Vereniging voor de Ontwikkeling van Woningen) nog steeds geen beveiligingslek verholpen dat online toegang tot de documenten van woningzoekenden mogelijk maakte. De tijd die de vereniging nodig had om de vereiste corrigerende maatregelen te implementeren, was een van de doorslaggevende factoren voor de Raad van State.
  • In de tweede zaak, eveneens gedateerd 17 april 2019, verlaagde de Raad van State het bedrag van de door de CNIL aan Optical Center opgelegde boete: het bedrijf had immers binnen twee dagen na de kennisgeving van de CNIL een beveiligingslek verholpen dat toegang tot de facturen van klanten via haar website mogelijk maakte. De boete werd verlaagd van 250.000 euro naar 200.000 euro.
  • We sluiten deze korte inventarisatie af met de meest recente sanctie van 13 juni 2019, die dit keer van belang is omdat het een zeer klein bedrijf betreft: het bedrijf Uniontrad had een videobewakingssysteem opgezet waardoor de werknemers voortdurend in de gaten werden gehouden.

In dit geval had de CNIL het bedrijf ook al twee keer gewaarschuwd alvorens het formeel te bevelen zijn werkwijze aan te passen, zonder dat de vereiste maatregelen binnen de gestelde termijn waren genomen. Op 18 juni legde de CNIL een administratieve boete op van € 20.000, rekening houdend met de omvang en financiële situatie van het bedrijf.

De conclusie die uit deze verschillende zaken kan worden getrokken, is dat zowel multinationals als kleinere bedrijven of verenigingen waarschijnlijk sancties opgelegd zullen krijgen. Bovendien benadrukken alle uitspraken het belang van de reactiesnelheid van de verwerkingsverantwoordelijke wanneer een inbreuk wordt ontdekt, en de impact van deze reactiesnelheid op de hoogte van een mogelijke sanctie.

Hoe zit het met onze Europese buren?

Alle indicatoren laten een toename zien in het aantal klachten en onderzoeken door gegevensbeschermingsautoriteiten, evenals in de hoogte van de sancties.

Er zijn iets meer dan 280.000 zaken bij alle gegevensbeschermingsautoriteiten in de Europese Economische Ruimte, waaronder ongeveer 144.000 klachten en 89 beveiligingsinbreuken. Eind mei werden 371 gegevensbeschermingsautoriteiten onderzocht.

Een initiatief om de verschillende sancties op Europees niveau in kaart te brengen, bijgewerkt door een Duits adviesbureau, biedt een globaal overzicht van het optreden van de toezichthoudende autoriteiten: https://www.enforcementtracker.com.

De hoogste straffen, naast die van de CNIL met betrekking tot Google, werden opgelegd door Portugal, dat een boete van € 400.000 oplegde aan een ziekenhuis wegens het niet beschermen van patiëntgegevens; door de CNIL, wederom een boete van € 400.000 aan een makelaarskantoor; en door Spanje met betrekking tot een smartphone-applicatie die stiekem de microfoons van mobiele telefoons van personen gebruikt. De Spaanse profvoetbalbond kreeg een boete van € 250.000 voor deze overtreding en is in beroep gegaan tegen deze beslissing.

Op weg naar coördinatie van overheidsinstanties voorbij de AVG?

Een opvallende nieuwe ontwikkeling betreft de samenwerking tussen overheidsinstanties om hun coherentie en effectiviteit te vergroten. Deze initiatieven hebben met name betrekking op gegevensbeschermingsautoriteiten, autoriteiten die verantwoordelijk zijn voor mededingingszaken en consumentenbescherming.

De discussies, die in 2016 door de Europese Toezichthouder voor gegevensbescherming zijn geïnitieerd in het kader van het project ‘Digital Clearing House’, worden nu georkestreerd door de academische sector en worden ondersteund door een resolutie van het Europees Parlement.

Het project brengt nu autoriteiten uit Europa en andere continenten samen. De ontwikkelde synergieën richten zich op de bescherming van individuen in de context van de digitale economie en "big data". De bijeenkomst op 5 juni 2019 bracht 25 toezichthoudende autoriteiten uit de Europese Unie en andere landen bijeen. Twee belangrijke kwesties werden besproken, namelijk die van Facebook en Microsoft. De autoriteiten richten hun gesprekken ook op de ontwikkeling van diensten met niet-monetaire compensatie. Met andere woorden: in hoeverre kunnen we accepteren dat individuen met hun gegevens betalen in ruil voor een digitale dienst?

Concrete richtlijnen hierover worden in het najaar verwacht, na de volgende vergadering van toezichthouders. Dit zou een belangrijke ontwikkeling kunnen zijn in het licht van de uitdagingen van de digitale economie.

En ook:

• In Frankrijk: De CNIL zet een nieuwe versie van haar tool online die de verwerkingsverantwoordelijke moet helpen bij impactanalyses (AIPD).

• in Europa : Op weg naar een strengere interpretatie van de regels voor elektronische prospectie? Verschillende toezichthoudende autoriteiten hebben aangekondigd dat ze hun interpretatie met betrekking tot het verkrijgen van toestemming van betrokkenen en cookies herzien. Dit zijn onder meer België, Frankrijk, het Verenigd Koninkrijk en Nederland. Opgemerkt dient te worden dat de Europese Raad voor Gegevensbescherming zich in een persbericht van mei 2018 al expliciet had uitgesproken tegen het gebruik van "cookie walls", die de toegang tot een website afhankelijk stellen van toestemming van bezoekers.

• in de wereld: Om de noodzaak van een wet ter regulering van algoritmen te beoordelen, heeft de Amerikaanse Senaatscommissie voor Handel tijdens een hoorzitting op 25 juni onderzocht hoe bedrijven als Google, YouTube en Facebook kunstmatige intelligentie gebruiken om invloed uit te oefenen.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL