Al vijf jaar GDPR!
Het is ondertussen vijf jaar geleden dat de algemene verordening gegevensbescherming in werking trad. Ondernemingen zorgen er dus al vijf jaar lang voor dat ze in overeenstemming zijn met die complexe verordening die in 99 artikelen regelt hoe persoonsgegevens mogen worden verzameld, gebruikt en verwerkt. Die verjaardag is een ideaal moment om terug te blikken op het reeds verrichte nalevingswerk alsook vooruit te blikken op de nieuwe uitdagingen die ondernemingen te wachten staan.
Hoewel die vijf jaar ten volle werden benut om beleid en instrumenten voor ‘data protection’ te ontwikkelen, werden de risico's in verband met gegevens steeds groter. Cyberrisico's, risico's op oplichting en fraude, op gegevensdiefstal ...
De laatste jaren zijn de cyberrisico's exponentieel toegenomen, met ernstige inbreuken op persoonsgegevens tot gevolg. Ondernemingen moeten regelmatig hun verplichtingen met betrekking tot het melden van gegevenslekken aan de Belgische Gegevensbeschermingsautoriteit (GBA) nakomen (*) en, als er een groot risico bestaat dat de rechten en vrijheden van personen worden aangetast, de betrokkenen van het gegevenslek op de hoogte brengen.
Gezien de grote cyberrisico’s worden de verplichtingen voor ondernemingen, met als doel om ernstige gevolgen te voorkomen, steeds zwaarder. De NIS 2-richtlijn vereist bijvoorbeeld dat leden van bestuursorganen van entiteiten met een hoog risico een cyberbeveiligingsopleiding volgen en moedigt hen aan hun personeel regelmatig een soortgelijke opleiding aan te bieden. Zij moeten namelijk voldoende kennis en vaardigheden verwerven om risico's vast te stellen en risicobeheerspraktijken op het gebied van cyberbeveiliging en de impact daarvan op de geleverde diensten te kunnen beoordelen.
Perceptie, acties en ... sancties
Het klopt dat de GDPR een beperking vormt en dat het nalevingswerk een aanzienlijke last met zich meebrengt, maar het is een noodzakelijk kwaad. Gegevens zijn tegenwoordig het belangrijkste bezit van de meeste ondernemingen. Goed gegevensbeheer is niet alleen een garantie op rechtszekerheid, maar het is ook een kwaliteitsgarantie voor ondernemingen en een vertrouwensmerk voor consumenten en contractanten.
Bovendien mogen we niet vergeten dat veel van de verplichtingen van de GDPR onderworpen zijn aan controles en zwaar kunnen worden bestraft door de GBA. Dat onafhankelijke toezichthoudende orgaan heeft veel meer actiemogelijkheden voor controle, inspectie en sancties dan haar voorganger.
Er wordt in België, maar ook in Europa, steeds meer gesanctioneerd. Een zeer recent voorbeeld is dat van Meta, dat begin deze week van de Ierse regulator een boete van 1,2 miljard euro kreeg voor het schenden van de Europese regels voor gegevensoverdracht met zijn sociale netwerk Facebook.
In België blijft het aantal sancties stijgen, van 143 in 2021 naar 189 in 2022. Administratieve boetes zijn de minst gebruikte sancties. In 2022 heeft de Geschillenkamer van de GBA slechts twaalf van die boetes opgelegd, evenwel voor een bedrag van ongeveer 740.000 euro.
Op Europees niveau speelt ook de Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor - EDPS) een belangrijke rol bij het toezicht op de naleving van de GDPR door de EU-instellingen en -organen. De Europese Toezichthouder geeft in zijn jaarverslag 2022 aan bijzondere aandacht te hebben besteed aan onderwerpen die verband houden met gezondheid, artificiële intelligentie en misdaadbestrijding.
Door al die bezorgdheden beseffen we wat er op het spel staat bij persoonsgegevensbescherming. Sociale media, artificiële intelligentie (AI) en ‘smart cities’: het zijn allemaal technologische en maatschappelijke ontwikkelingen die gevolgen hebben voor het gebruik van persoonsgegevens en risico’s met zich meebrengen.
Gezien de complexiteit van de naleving van de GDPR en de uitdagingen rond de verwerking van persoonsgegevens, moeten ondernemingen zich bewust worden van het belang van gegevensbescherming en een beroep doen op de hulp van een interne of externe functionaris voor gegevensbescherming of Data Protection Officer.
Het VBO organiseert op 25 mei, in samenwerking met de Beroepsvereniging van functionarissen voor gegevensbescherming (DPO-pro), ISACA en het Data Protection Institute de dpo day for DPOs by DPOs. De perfecte manier om, op de vijfde verjaardag van de verordening, alle gepassioneerde en onmisbare functionarissen voor gegevensbescherming in de bloemetjes te zetten!
(*) In 2022 opende de GBA 1.426 dossiers met betrekking tot gegevenslekken.