De Gegevensbeschermingsautoriteit (GBA), de instantie die toeziet op de naleving van de GDPR-regels, heeft een akkoord gesloten met DNS Belgium , beheerder van domeinnamen. Hierdoor kan de GBA websites offline halen als er inbreuken zijn tegen de privacywetgeving (GDPR). Onze advocaat Tinneke Geukens, officieel DPO’er ( Data Protection Officer ) en specialiste in de GDPR geeft in deze Q&A meer duiding over die samenwerking alsook over de GDPR regels in het algemeen.
Wat vindt u van deze samenwerking tussen de GBA en DNS?
Het is begrijpelijk dat beiden gaan samenwerken rondom GDPR. GBA heeft DNS nodig om websites te kunnen blokkeren indien ze zich niet aan de GDPR-regels houden, terwijl DNS baat heeft bij betrouwbare websites maar tot op heden niet juridisch kon optreden tegen overtreders. Het is ook goed dat er op die manier kan opgetreden worden tegen zware inbreuken. Al moeten de (juridische en financiële) consequenties voor ondernemers uiteraard wel steeds in verhouding staan ten opzichte van de inbreuk.
Krijgt de GBA zo niet te veel macht naar uw mening?
Het is goed dat inbreuken op de privacywetgeving aan banden gelegd worden en dat websites die deze regels echt bewust met de voeten treden offline gehaald kunnen worden. Maar wij hopen dat er spaarzaam zal omgesprongen worden met deze maatregel. Dat dit enkel gebruikt zal worden bij hardleerse overtreders. Want zeker in deze tijd is een website voor ondernemers enorm belangrijk. Uit de afspraken die gecommuniceerd werden door de GBA blijkt alvast wel dat dit enkel zal ingezet worden voor flagrante inbreuken.
Waren de sancties van de GBA dan tot nu toe niet redelijk volgens u?
Uiteraard is het terecht dat er sancties volgen als je je niet aan de regels houdt, aangezien privacy en het correct hanteren van persoonsgegevens goed beschermd moet worden. Maar wij weten uit ervaring dat ondernemers niet altijd te kwader trouw de richtlijnen niet volgen. Maar eerder uit onwetendheid of omdat ze zelf slecht geïnformeerd werden. Het is voor ons belangrijk dat hier dus rekening mee gehouden wordt bij het nemen van maatregelen. Zodat ondernemers de tijd krijgen om de nodige aanpassingen te doen.
Maar de GDPR-richtlijnen zijn nu toch al een heel aantal jaren duidelijk en ook al bijna 3 jaar van kracht. Zou niet iedereen stilaan moeten weten waar hij aan moet voldoen?
We mogen niet vergeten dat dit een zeer complexe en voor veel ondernemers abstracte materie is. De richtlijnen rondom cookies bijvoorbeeld zijn de afgelopen tijd nog aangescherpt, maar niet iedereen is hiervan op de hoogte of heeft zich hierop aangepast. Als je de regels dus heel strikt gaat controleren, zul je veel inbreuken vinden die zeker niet kwaadwillig gemaakt zijn.
Maar je kan niet altijd zomaar uitmaken of iemand de regels met opzet of per ongeluk negeert. Het is dan toch iedereen gelijk voor de wet?
De regels zijn de regels uiteraard en die gelden voor iedereen. Maar een website offline halen is wel een heel zware sanctie, zeker in deze tijd. Wij hopen dus dat hier omzichtig mee omgesprongen zal worden en dat ondernemers eerst de kans zullen krijgen om zich in orde te stellen. Dit dient ook de uiteindelijke doelstelling: zoveel mogelijk ondernemingen te laten voldoen aan de GDPR-regels. Wij gaan er dus vanuit dat dit ook de bedoeling is van de GBA. Het is nu belangrijk om ondernemers dus te waarschuwen voor de mogelijke gevolgen en hen zoveel mogelijk te stimuleren om te laten checken of hun website aan de regels voldoet.
Wat zou de GBA dan wel moeten doen om ‘rechtvaardiger’ op te treden?
Het is geen kwestie van ‘rechtvaardiger’. De regels zijn de regels uiteraard en die gelden voor iedereen. Maar een website offline halen is wel een heel zware sanctie, zeker in deze tijd. Wij hopen dus dat hier omzichtig mee omgesprongen zal worden en dat ondernemers eerst de kans zullen krijgen om zich in orde te stellen.
Over de waarschuwing voor ondernemers:
Wat moeten ondernemers doen om in orde te zijn?
Om volledig in orde te zijn met de GDPR-richtlijnen, zijn er wel heel wat dingen die gecheckt moeten worden. Uiteraard start het met een duidelijke en volledige privacyverklaring op de website, alsook een cookiepolicy en -banner die voldoet aan de aangescherpte richtlijnen en actieve opt-ins voor online formulieren. Maar daar stopt het niet. Ook hoe je gegevens van je klanten verwerkt, welke policies je hebt voor je werknemers… spelen een rol. Het is dus niet iets wat je op 1-2-3 als ondernemer zomaar zelf in orde maakt.
Zo’n cookie-policy, -banner en privacyverklaring zijn toch standaard teksten die ondernemers kunnen gebruiken zodat ze altijd in orde zijn? Dat is toch gewoon kwestie van het erop te zetten en klaar. Dat kan toch niet zo moeilijk zijn?
Dit is net een veelgemaakte fout. Zulke policies zijn echt maatwerk. Je kan niet zomaar een standaard policy gebruiken. Elke website is anders opgebouwd, de gegevens worden op een andere manier verwerkt, elke business is ook anders en gebruikt gegevens ook anders. Dit moet allemaal mee opgenomen zijn in die verklaringen. Want de bedoeling is net dat consumenten exact kunnen weten wat jij specifiek met hun gegevens zal doen. Als dit niet duidelijk gespecifieerd is, ben je dus niet in orde volgens de GDPR-regels.
Vele websitebouwers bieden toch ook integratie van deze policies aan. Zijn deze dan niet voldoende?
Vertrouwen op een websitebouwer kan zeker, indien zij rekening houden met de juridische regels en samenwerken met een juridisch expert. Het in orde zetten van GDPR-richtlijnen is sowieso best in goede samenwerking tussen een juridisch expert en een IT-er.
Hoe weet je als ondernemer die hier niets van kent dan of je al dan niet in orde bent? Ben je dan sowieso verplicht om een dure controle te laten uitvoeren door een juridisch expert?
Het is inderdaad niet zo makkelijk om zelf te beoordelen of je al dan niet in orde bent. Maar er zijn wel wat tips die ik kan geven. Bijvoorbeeld heel concreet voor je cookie-policy, kun je zelf nagaan of je aan de volgende voorwaarden voldoet:
- Er moet duidelijk instaan wat de cookies doen;
- Er moet duidelijk instaan waarom je gebruik wil maken van de cookies;
- Er moet ook duidelijk vermeld staan hoe de cookies kunnen worden verwijderd of de toestemming kan worden ingetrokken;
- De toestemming moet geïnformeerd zijn en berusten op een positieve actie;
- Er dient een knop aanwezig te zijn om de cookies te weigeren
- De cookiepolicy moet in de juiste taal zijn opgesteld.
Indien één van deze dingen niet in orde is, neem je best contact op met een juridisch expert om je hierbij te helpen.
Hoeveel kost het een ondernemer om zo’n juridische check te doen en dit op maat te laten maken?
Net omdat het zo specifiek en op maat is, kan ik daar geen exacte bedragen op plakken. Voor sommige bedrijven volstaat een kleine aanpassing op de ‘standaard’ verklaringen. Voor anderen moet er echt een tekst op hun maat geschreven worden. Hier hangen natuurlijk verschillende prijskaartjes aan vast.
Hoe groot is de kans op een controle? Is het echt de moeite om hier geld aan te spenderen? Ik kan me voorstellen dat ondernemers op dit moment wel wakker liggen van andere kosten.
Vele KMO’s denken dat zij geen risico lopen omdat ze zo klein en ‘onbelangrijk’ zijn, maar ondernemers moeten beseffen dat iedereen risico loopt. De GBA voert immers willekeurige controles uit én gaat ook in op klachten hierover. Als een concurrent bijvoorbeeld opmerkt dat jouw website niet volledig aan de regels voldoet, kan hij een klacht hierover indienen bij de GBA en dat kan leiden tot boetes van duizenden euro’s en nu dus ook tot het offline halen van je website. Serieuze sancties. Dus wij vinden het onze taak om ondernemers te waarschuwen en aan te raden om zich in orde te maken omtrent GDPR.
Wat moet een ondernemer doen als hij een brief krijgt van de GBA?
Het allerbelangrijkste is dat je dit niet negeert en de bezwaren van de GBA zo snel mogelijk aanpakt. Indien je niet binnen de 14 dagen reageert, volgen er immers sancties. Gelukkig zijn de meeste bezwaren heel snel te verhelpen door simpele aanpassingen aan de teksten. Dit hoeft niet lang te duren en ook niet veel te kosten. Als je weet dat je zo boetes van 15.000 euro en meer kan uitsparen én zorgt dat je website niet offline gehaald kan worden, lijkt het mij zeker opportuun om hier snel in te reageren.
Ingentia kan je huidige situatie onder de loep nemen , de nodige verbeteringen voorstellen en uitvoeren.