GDPR

GDPR: een stand van zaken na meer dan acht maanden inwerkingtreding

Sofie Nauwelaerts Sofie Nauwelaerts

De Algemene Verordening Gegevensbescherming, beter bekend als de GDPR, is sedert 25 mei 2018 van kracht. Na de hype in de eerste helft van 2018 lijkt de rust intussen weergekeerd. Hoewel heel wat ondernemingen stappen in de richting van GDPR compliance hebben gezet, blijkt er toch nog heel wat werk aan de winkel.

Uit verschillende onderzoeken (o.a. van de VRT) blijkt immers dat er toch nog behoorlijk wat ondernemingen zijn die de reglementering niet of niet correct toepassen. Vragen van de betrokkene worden vaak niet, laattijdig of op een foute manier behandeld. Een goede barometer om het compliance niveau in de lidstaten te beoordelen, betreft het aantal meldingen van datalekken. Uit internationale statistieken blijkt dat, hoewel het aantal meldingen van datalekken in België exponentieel is toegenomen ten opzichte van de periode voor 25 mei 2018, het aantal meldingen in België in vergelijking met de ons omringende landen aan de lage kant is: 420 meldingen in België (ofte 3,6 op 100.000 inwoners), ten opzichte van 15.400 in Nederland , 12.600 in Duitsland en 10.600 in het Verenigd Koninkrijk (respectievelijk 89,8, 15,6 en 16,3 meldingen per 100.000 inwoners). Anderzijds is België ook niet de slechtste leerling van de klas (dat zijn Italië en Griekenland met respectievelijk slechts 0,9 en 0,6 meldingen per 100.000 inwoners).

Alleszins kan worden vastgesteld dat veel Belgische ondernemingen thans terug de kat uit de boom lijken te kijken of van mening lijken te zijn dat GDPR-compliance een pure administratieve formaliteit is die niet hoog op de prioriteitenlijst moet worden geplaatst.

Deze houding heeft ons inziens verschillende oorzaken. In de eerste plaats heeft de Belgische toezichthoudende autoriteit, de Gegevensbeschermingsautoriteit, zich, in vergelijking met de autoriteiten van de ons omringende landen, (nog) niet als de meest actieve getoond. Zo werden er nog geen boetes opgelegd, zijn er nog geen onderzoeken afgerond en werden er nog geen geschillen voor de geschillenkamer gebracht. In de tweede plaats heeft de Gegevensbeschermingsautoriteit zelf aangegeven dat zij in eerste instantie niet sanctionerend zou optreden. Tenslotte lijkt ook de Belgische burger niet overmatig veel belangstelling te tonen voor deze materie. Uit cijfers van de Gegevensbeschermingsautoriteit blijkt dat er in de eerste zes maanden na de inwerkingtreding van de GDPR 148 klachten werden ingediend. Hoewel dit een verdubbeling betreft ten opzichte van het jaar 2017, kan men dit nog steeds geen hoog cijfer noemen.

Men moet echter opletten dat de weergekeerde rust en de beperkte interesse van de Belgische burger geen vals gevoel van veiligheid geven. De Gegevensbeschermingsautoriteit heeft meer middelen en mankracht gekregen, is intussen wel degelijk gestart met haar eerste onderzoeken en is bezig de achterstand in dossiers weg te werken. De eerste boetes zullen hoogstwaarschijnlijk dan ook niet heel lang meer op zich laten wachten.