Zo vermijdt u een GDPR-boete

De Belgische Gegevensbeschermingsautoriteit is streng voor bedrijven die het niet nauw nemen met de privacywetgeving.

Elke organisatie in ons land mag zich bij inbreuken tegen de privacywetgeving (GDPR) verwachten aan boetes. Apogado, een onafhankelijk bedrijf dat gespecialiseerd is in privacy en security, zette de vaakst voorkomende pijnpunten op een rij.

Wettelijke basis

Voor elke verwerking van persoonsgegevens is een wettelijke basis nodig. “Die ontbreekt vaak of is onvoldoende onderbouwd”, weet Stijn Welkenhuysen, partner van Apogado. “Speel je data door aan een andere partij, gebruik je ze voor direct marketing of profileer je prospecten in je CRM-systeem, dan mag dat enkel onder bepaalde voorwaarden. De GDPR laat slechts zes mogelijkheden toe, waarvan ‘toestemming’ de bekendste is. Boetes van 50.000 euro zijn geen uitzondering.”

Privacyverklaring

Een organisatie moet haar klanten, prospecten en websitebezoekers informeren over wat ze met hun persoonsgegevens doet. Daar is bijna altijd een privacyverklaring voor nodig. Die moet zorgvuldig worden opgesteld en waarheidsgetrouw zijn. De privacyverklaring van een concullega kopiëren is geen goed idee.

Website

Ook de website moet de privacyregels volgen. “Zeker als je cookies gebruikt”, zegt Welkenhuysen. “De Belgische Gegevensbeschermingsautoriteit (GBA) geeft daar prioriteit aan in 2023. In het verleden hebben bedrijven al boetes tot 50.000 euro gekregen voor het foutieve gebruik van cookies. Wat alles nog complexer maakt, is dat cookies ook door de ePrivacy Richtlijn worden gereguleerd.”

Beveiliging

Veel organisaties besteden te weinig aandacht aan de beveiliging van hun gegevens. Niet alleen kunnen hackers daardoor hun slag slaan, ook door interne fouten kan veel fout lopen. Zelfs zonder schade kan al een sanctie volgen. Zo kreeg een medisch labo een boete van 20.000 euro na een klacht van een patiënt.

Leveranciers

Als een organisatie cloudsoftware gebruikt, is de kans reëel dat haar persoonsgegevens door een externe partij verwerkt worden. “Het is dan zaak de conformiteit van die leverancier grondig na te gaan”, waarschuwt Welkenhuysen. “Je blijft verantwoordelijk. We stellen vast dat bedrijven vaak onvoldoende kritisch zijn.”

Rechten

Elke betrokkene heeft rechten, zoals het recht van inzage in zijn gegevens en het recht om vergeten te worden. Veel organisaties houden daar geen rekening mee bij het opzetten van nieuwe systemen. Dat kan leiden tot een klacht, een inspectieonderzoek en een boete.

Bewaartermijn

Een organisatie mag de gegevens niet langer bijhouden dan nodig. Welkenhuysen: “Daar wordt vaak tegen gezondigd, meestal te goeder trouw. Zo kreeg een Belgisch bedrijf een boete van 7.500 euro voor het onrechtmatig ‘herstellen’ van een back-up. Een ander moest 15.000 euro betalen omdat het de mailbox van een ex-werknemer te lang had bijgehouden.”

Data protection officer

Veel bedrijven zijn bij wet verplicht om een data protection officer aan te stellen die waakt over de naleving van de privacywetgeving. Vaak wordt die rol pro forma opgenomen door iemand die niet over de juridische én technische kwalificaties beschikt of onvoldoende onafhankelijk is. Hiervoor gaf de GBA al boetes van 50.000 euro. Ook dat is een topprioriteit voor 2023.