GBA schiet in actie: eerste Belgische GDPR-boete voor burgemeester

Terug naar het overzicht GBA schiet in actie: eerste Belgische GDPR-boete voor burgemeester

Datum: maandag 17 juni 2019

Auteur(s): Uitgeverij Vanden Broele

Een jaar na de invoering van de nieuwe Europese privacyregels (GDPR) is de eerste boete in België een feit. België volgt hiermee haar buurlanden waar inbreuken op de GDPR-wetgeving al langer bestraft worden. ‘Uber’ kreeg zo voor het overtreden van de meldplicht datalekken een geldstraf van 600.000 euro in Nederland. De meest in het oog springende boete vond in Frankrijk plaats. Daar werd een monsterboete aan ‘Google’ opgelegd van 50 miljoen euro.

In België bleven deze boetes even op zich wachten. Het duurde dan ook tot april van dit jaar vooraleer het directiecomité van de Belgische Gegevensbeschermingsautoriteit (GBA) werd gevormd. Deze moet in de eerste plaats de naleving van de GDPR-wetgeving afdwingen. De voorzitter, David Stevens, maakte na zijn eedaflegging meteen duidelijk af te willen stappen van de afwachtende houding en actief op te willen treden tegen inbreuken.

Een goeie maand na zijn aanstelling hield Stevens meteen woord. De eerste GDPR-boete werd uitgereikt aan een burgemeester die e-mailadressen van burgers, verkregen in het kader van een verkavelingswijziging, gebruikte voor de eigen verkiezingscommunicatie. Het bedrag bleef gezien de aard en de ernst van de zaak beperkt tot 2.000 euro. De beslissing wordt wel gezien als een duidelijk signaal naar iedere verwerker van gegevens en al zeker voor overheidsmandatarissen.

Zowel overheidsmandatarissen als de lokale besturen zelf hebben een voorbeeldfunctie bij het eerbiedigen van de wet. Nochtans heeft recent onderzoek van GD&A advocaten aangetoond dat de stand van de GDPR-conformiteit bij deze lokale besturen vaak alarmerend is. Overheidsdiensten riskeren niet meteen de torenhoge boetes zoals bedrijven, maar kunnen bovenop de geldboete een corrigerende maatregel (bv. tijdelijk verbod op het verwerken van persoonsgegevens) of zelfs een strafrechtelijke boete opgelegd krijgen. De nieuwe actieve aanpak van de GBA doet vermoeden dat meer GDPR-boetes in België zullen volgen.

Enkele oorzaken van kleine en minder kleine GDPR-boetes bij onze buurlanden:

  • Het niet afsluiten van een verwerkersovereenkomst met een verwerker;
  • Gebrekkige veiligheidsvoorzieningen van gegevens;
  • Een laattijdig antwoord op verzoek om inzage van persoonsgegevens;
  • Het publiek beschikbaar zijn van gegevens van burgers die zich hadden aangemeld bij een overheidswebsite;
  • Het niet terugvinden van een medisch dossier van een patiënt;
  • Het bijhouden van wachtwoorden in volle tekst in plaats van deze minstens te pseudonimiseren of encryperen;
  • Het onrechtmatig publiceren van de naam en foto van drie politieagenten tijdens een arrestatie.

Meer interessante GDPR-sancties kan u terugvinden op de website van Mr. Franklin: https://1drv.ms/b/s!Alb_SKRyT8nK4kRqvN1Hq5179E1o

 

Bronnen

http://www.gdena-advocaten.be/documents/news-items/20180822_breaking-meer-dan-80-van-de-lokale-besturen-blijkt-niet-in-orde-met-de-gdpr-en-cookieregels-toch-lijkt-een-eerste-beproeving-nabij.xml?lang=nl

https://datanews.knack.be/ict/nieuws/belgische-gegevensbeschermingsautoriteit-schrijft-eerste-gdpr-boete-uit/article-news-1470399.html   

https://gdpr.wolterskluwer.be/nl/nieuws/eerste-belgische-gdpr-boete-voor-misbruik-van-gegevens-in-verkiezingscampagne/