Menu Bel 015 55 00 31 Inloggen
Home Nieuws 2 jaar GDPR - een stand van zaken

2 jaar GDPR - een stand van zaken (29/05/2020)

Exact 2 jaar geleden is de Algemene Verordening Gegevensbescherming (GDPR of AVG) in werking getreden. 

In mei 2018 was iedereen volop bezig met het opstellen van privacyverklaringen, cookie policies, verwerkingsregisters en verwerkersovereenkomsten. 

Deze activiteiten werden bemoeilijkt door de onzekerheid over de wijze waarop de Gegevensbeschermingsautoriteit (GBA) de verschillende verplichtingen zou interpreteren. 

De GBA is echter nog maar volledig operationeel sinds mei 2019. Tijdens het eerste volledige werkingsjaar waren er 937 meldingen van datalekken, 4.438 informatievragen en 351 klachten. 

De Geschillenkamer van de GBA heeft verder ook 22 beslissingen ten gronde uitgesproken. 

De onzekerheid is echter nog niet weg. Wel is duidelijk dat de GBA streng optreedt en er hoge boetes (tot 50.000 euro) uitgesproken worden. 

Een zaak kan voor de Geschillenkamer komen op de volgende wijze:

1. naar aanleiding van een klacht van een betrokkene: veelal gebeurt dit wanneer niet wordt ingegaan op een verzoek van de betrokkene tot inzage of verwijderen van de persoonsgegevens;

2. naar aanleiding van een melding van een datalek;

3. naar aanleiding van een spontaan onderzoek van de Inspectiedienst van de GBA.

Eind januari 2020 heeft de GBA haar strategisch plan voor de komende 5 jaren bekendgemaakt. Hierin worden 3 prioriteiten vooropgesteld, waarop de GBA zich zal concentreren in de nabije toekomst: 

1. prioritaire sectoren: Telecommunicatie en media, overheid, direct marketing, onderwijs en KMO's;

2. prioritaire AVG instrumenten: rol van de DPO, legitimiteit van de verwerking van persoonsgegevens (onderzoeken van de rechtsgrond) en de rechten van burgers;

3. Maatschappelijke thema's: foto's en camera's, online gegevensbescherming, gevoelige gegevens. 

Deze prioriteiten zijn ook terug te vinden in de beslissingen van de Geschillenkamer.


Het afgelopen jaar heeft de Geschillenkamer zich uitgesproken over o.a.

- de verplichting om de gegevensverwerking te beperken tot het minimaal noodzakelijke: in dit geval werd een klant verplicht zijn identiteitskaart te laten inscannen voor het ontvangen van een klantenkaart.*

- cookie policy: de verplichting om vóór het plaatsen van elk cookie apart de expliciete toelating te vragen*.

- het gebrek aan transparantie in de privacyverklaring: vermelden van rechtsgrond voor elke verwerking, duidelijke omschrijving van het gerechtvaardigd belang indien men zich daarop beroept, informeren omtrent de doorgifte van persoonsgegevens. 

- de positie van de functionaris gegevensbescherming (DPO): een DPO mag zijn functie niet combineren met een functie waarin hij mogelijk kan beslissen over het doel en de middelen van de verwerking: dit is een belangenconflict*.

- de verplichting een verwerkersovereenkomst af te sluiten.

- de verantwoordingsverplichting: DKV Verzekeringen had zich gesteund op het gerechtvaardigd belang voor de verwerking van gezondheidsgegevens, wat een inbreuk op de verantwoordingsverplichting inhield volgens de GBA*.

- het feit dat de toestemming vrij moet zijn.

-de rechtsgrond van verwerkingen van persoonsgegevens door sociale media platform : de datingsite TWOO biedt de optie "nodig een vriend uit" aan haar leden, waarvoor het de gegevens uit het adresboek/facebook account/.. van het lid kopieert en bewaart. TWOO baseerde zich hiervoor op de toestemming van dat lid. De GBA is van oordeel dat het lid geen toestemming kan geven voor het gebruik van de persoonsgegevens van een derde*.

Voor de inbreuken waar een * vermeld is, werden boetes van 15.000 tot 50.000 euro opgelegd. 

Goed om weten is wel dat de GBA niet almachtig is: de boete voor het inscannen van de identiteitskaart werd hervormd door het Marktenhof bij het Hof van Beroep te Brussel, niet omdat het Hof de redenering van de GBA niet kon volgen, maar omdat het niet bewezen achtte dat de informatie op de identiteitskaart werkelijk verwerkt werd door de winkel.

De lessen die hieruit geleerd kunnen worden is dat het zeer belangrijk is tijdig te antwoorden op verzoeken van burgers, omdat een klacht van een burger aanleiding kan geven tot verder onderzoek door de GBA. Hoewel de klacht of het datalek in de meeste gevallen niet tot een sanctie leidt, worden er vaak andere inbreuken vastgesteld in het kader van het onderzoek. Het zijn deze inbreuken die vervolgens aanleiding geven tot sancties. 

Verder is het belangrijk om te voldoen aan uw informatieverplichting: een privacyverklaring is een eerste en duidelijke indicatie van het privacybeleid van een onderneming en staat daardoor ook meteen in de kijker. 

LM&DS kan u helpen indien u twijfelt aan uw privacyverklaring of cookie policy, indien u zich zorgen maakt over de legitimiteit van de verwerkingen die u uitvoert of indien u zich afvraagt of u de juiste contracten heeft afgesloten met uw klanten en leveranciers. Aarzel zeker niet ons te contacteren.

Bericht geplaatst door Veerle Stroobants - Advocaat op 29/05/2020.

Graag op de hoogte blijven en 
uitnodigingen voor onze infosessies ontvangen?

Schrijf in voor onze nieuwsbrief

LM&DS plaatst enkel cookies om uw surfervaring op onze website te optimaliseren. Onze website maakt geen gebruik van tracking cookies die uw internetgedrag volgen met o.a. reclamedoeleinden. De statistieken die we op basis van analytisch cookies bekomen, bevatten geen persoonsgegevens.

Akkoord    Meer informatie