Blog

-Al 114 miljoen euro aan GDPR boetes

Sinds de invoering van de GDPR in Europa anderhalf jaar geleden, werd voor meer dan 114 miljoen euro aan boetes opgelegd. Dat blijkt uit een studie van DLA Piper.

Bij de invoering van de GDPR wetgeving in Europa was er heel wat te doen over de ‘monsterboetes’ die door de nationale regulatoren kon worden opgelegd, en die kunnen oplopen tot niet minder dan 2% van de wereldwijde jaaromzet. Bedrijven die in meerdere europese landen actief zijn, riskeren dergelijke boete zelfs per land ! En nog straffer : voor zéér ernstige inbreuken op de GDPR wetgeving kan de boete zelfs worden verhoogd tot 4% van de wereldwijde jaaromzet. Bij invoering van deze nieuwe wetgeving werd evenwel ‘geruststellende taal’ gesproken : er zou bij opstart niet direct worden beboet. 

Specifiek voor België was er lange tijd een probleem met de benoeming van leden van de Gegevensbeschermingsautoriteit (GBA) waardoor boetes de-facto niet konden worden opgelegd.   Midden 2019 echter sprak David Stevens als kersverse voorzitter van de GBA meteen klare wijn: “De tijd van sit back & relax over GDPR is voorbij”. 

 

Nieuwe studie evalueert 'anderhalf jaar GDPR'

Nu, 6 maanden na onze vorige blogpost, blikken we opnieuw terug op dit topic ahv een nieuw gepubliceerde studie door advocatenkantoor DLA Piper. 

Daaruit blijkt dat de ‘overgangsperiode’ waarover sprake bij invoering van de GDPR wetgeving stilaan voorbij is.  Het voorbije anderhalf jaar werd voor in totaal 114 miljoen euro aan boetes uitgegeven !

In haar onderzoek verwijst DLA Piper naar 2 hangende cases waarin nog geen definitieve uitspraak werd gedaan.  Maar waarin de betrokken bedrijven niet minder dan 329 miljoen euro aan boetes riskeren vanwege de Britse regulator.  De grootste case is deze tegen IAG, de eigenaar van British Airways, die niet minder dan 214 miljoen euro boete riskeert.  

Op de ‘heatmap’ bovenaan deze post worden alle Europese landen weergegeven volgens het totaalbedrag aan uitgereikte boetes : hoe roder de kleur, hoe hoger het boete-totaal.  België is momenteel nog lichtrode gekleurd, maar dat geldt (op Luxemburg na) niet voor onze buurlanden.

 

Geen enkele boete

6 Europese landen deelden nog géén enkele boete uit : Estland, Slovenië, Finland, Liechtenstein, Luxemburg en Ierland.  In deze laatste 2 landen hebben nochtans heel wat (grote) bedrijven een belangrijke zetel.  In Ierland hebben BIG TECH bedrijven als Facebook, Apple, Amazon, Google, … zelfs een hoofdzetel.  Misschien is dat meteen ook de verklaring voor het uitblijven van boetes.  Vraag is hoelang dit door de collega-landen wordt getolereerd.

 

België en buurlanden

Op Luxemburg na deelden al onze directe buurlanden al boetes uit.  We zien volgende TOP 4 : Frankrijk (51,1 miljoen euro), Duitsland (24,5 miljoen euro), Oostenrijk (11,5 miljoen euro) en Italië (11,6 miljoen euro).

In Nederland werden het grootste aantal (40.647) data-inbreuken gemeld.  In België waren dat er slechts 1.330. 

Ook op vlak van penalisatie schakelen onze noorderburen een versnelling hoger : op 3 maart 2020 maakte de Nederlandse “Autoriteit Persoonsgegevens (AP)” bekend dat ze een boete oplegt van niet minder dan 525.000 euro aan de tennisbond KNLTB wegens het verkopen van persoonsgegevens aan 2 sponsoren. 

Het argument dat de KNLTB een “gerechtvaardigd belang” had om persoonsgegevens te verkopen aan sponsoren werd dus niet gevolgd.  Dit is meteen de hoogste GDPR-boete in Nederland.  Meer informatie over deze boeiende case vindt u hier

In België werd voor amper 39.000 euro aan boetes uitgeschreven, vooral dan aan locale politici die gegevens misbruikten voor hun verkiezingscampagne vorig jaar.  Dat is bijzonder laag in vergelijking met de rest van Europa.  Anderzijds heeft de GBA in haar strategisch plan 2019 -2025 zeer duidelijk aangegeven om de druk te verhogen en meer controles uit te voeren.

 

Conclusie

 “Als het regent in Parijs, dan druppelt het in Brussel.” 

Wij verwachten dat de GBA haar werking en boetebeleid zal enten op wat gangbaar is in onze buurlanden.  En dat betekent een forse versnelling ten opzichte van de huidige cijfers.  De GBA bevestigt dit zelf ook onomwonden in haar eigen strategisch plan. 

“Het zal zo’n vaart niet lopen” lijkt ons dan ook een domme strategie.  Van bedrijven wordt inzake GDPR immers proactiviteit & ambitie verwacht.  Compliance geen einddoel maar slechts een begin. 

Terwijl u hard werkt om de GDPR beter te integreren iw uw bedrijfsprocessen- en werking, is het slim om ook een plan B te voorzien voor wanneer Murphy zich manifesteert. 

Al onze cyberverzekeringsformules bevatten professionele diensten van specialisten en dekkingen om u hierin bij te staan zoals :

  • Actieve Hotline incl juridische ondersteuning door AFFLUO (Johan Vandendriessche). Bij aanmelding van een incident wordt meteen geëvalueerd of GDPR speelt...en op welke manier. U heeft immers slechts 72 uur om de juiste stappen te zetten !
  • Administratieve verplichtingen & boetes.  In al onze polissen vallen ook GDPR-gerelateerde boetes mee binnen het verzekerd kapitaal  
  • Informeren van alle betrokkenen indien een cyberincident binnen uw bedrijf ook impact heeft op de integriteit van persoons- of bedrijfsgegevens.
  • Onderschreef u de uitbreiding “Rechtsbijstand”, dan geniet u een erg ruime dekking voor juridische verdedigingskosten

 

 

Volg ons

linkedin facebook twitter  email

Contacteer ons

Heeft u vragen over uw contract, uw factuur of wenst u informatie over onze producten en diensten? Vul dan hier even het contactformulier in. Wij bezorgen u zo snel mogelijk een antwoord.

Contacteer ons

Offerte

Indien u geïnteresseerd bent in een CyberCrime polis, kunt u hier online een offerte aanvragen. U hoeft slechts enkele basis gegevens te verstrekken, en wij doen de rest.

 

Bereken nu