Gedreven marketeer
Jan Martens
0479 55 82 95

Markante marketeer
Maarten Princen
0485 10 33 59

info@expliciet.be

25 mei 2018

GDPR-boetes: staat de privacypolitie binnenkort voor jouw deur?

Expert aan het woord

Fréderique Voesen
Punctueel pitbull

GDPR-boetes tot 20 miljoen euro. We slikten hier ten huize Expliciet even toen we dat bedrag zagen in allerlei nieuwsbrieven en artikels. Maar hoe zit het écht met die boetes nu deze nieuwe wetgeving officieel van kracht is? Is het bibberend wachten op de zwaailichten van de GDPR-politie? En wat als die een inbreuk vaststelt? Krijg je dan meteen een opt-in voor de privacygevangenis?

We kunnen je meteen geruststellen: zo’n vaart loopt het niet. Ja, de GDPR-boetes bedragen in theorie 20 miljoen euro of 4% van de wereldwijde jaaromzet van het bedrijf in kwestie. Maar neen, zo’n monsterboetes zijn niet van toepassing op jouw KMO.

Voilà, exit okselvijvers.

Dan leggen we je nu graag uit waarom jij niet hoeft te vrezen voor recordboetes.

Eerst sensibiliseren

De eerste reden heeft te maken met de visie van de GBA. Niet de voetbalclub, wel De Gegevensbeschermingsautoriteit (een woord dat goed is voor een topscore bij Scrabble). De GBA is een overheidsinstelling. Meer bepaald de hervormde versie en vervanger van de vroegere Privacycommissie. Een deel van haar takenpakket is toezien op de naleving van de GDPR-wetgeving.

GBA-voorzitter Willem Debeuckelaere liet zich al ontvallen dat ze in eerste instantie willen sensibiliseren. Het wereldrecord breken voor boetes schrijven, behoort niet tot hun ambities. Toch niet als jouw KMO stappen zette om GDPR-compliant te zijn. En jullie kunnen aantonen dat jullie je best deden én doen.

De juiste verhoudingen

Over naar reden nummer twee. GDPR-boetes staan altijd in verhouding met de ernst en de omvang van de inbreuk. De politie trekt je rijbewijs toch ook niet in als je een paar kilometer per uur te snel rijdt?

Hoe bepaalt de GBA die ernst en omvang dan?

Door na te gaan of gegevensverwerking al dan niet tot de absolute kern van je onderneming behoort. Is de stelselmatige verwerking van persoonsgegevens jouw core business? Of speelt het een bijrol? Een bedrijf gespecialiseerd in big data, behoort tot die eerste categorie. Een bouwbedrijf dat een lijst bijhoudt met de namen, voornamen en e-mailadressen van hun klanten, tot de tweede.

Ook een belangrijke: of je al dan niet gevoelige gegevens verwerkt. Denk aan informatie over ras, politieke opvattingen, gezondheid, religie, seksuele gerichtheid… Da’s andere koek dan dat bouwbedrijf, hé? En dus een GDPR-boete van een andere orde.

Daarnaast zijn er nog andere factoren die meespelen. Of je de inbreuk zelf meldde, om er één te noemen.

GDPR-boetes: conclusie?

Ieder bedrijf kan sinds 25 mei een controleur over de vloer krijgen. Die kondigt zijn bezoek wel eerst aan per brief. Maar of die controleur monsterboetes uitschrijft bij een KMO voor wie de verwerking van persoonsgegevens niet tot hun core business behoort? En die hun uiterste best deden om alles in orde te zetten? Dat zien we niet gauw gebeuren.

Wie mag dan wél okselvijvers ontwikkelen? De bedrijven die stelselmatig gevoelige gegevens verwerken én bewust hun voeten vegen aan de GDPR.

Lees verder.

Blijf nog wat langer.