Ruim vierhonderd miljoen euro. Voor dat bedrag werden er boetes opgelegd als inbreuk op de GPDR-wetgeving. Vooral grote data-inbreuken worden bestraft. In België is er van boetes amper sprake. Wordt er eigenlijk wel beboet?
In de lijst met hoogste GDPR-boetes tot dusver, die cybersecuritywebsite PreciseSecurity samenstelde, staan Britse bedrijven bovenaan.
British Airways werd veroordeeld tot het betalen van ruim tweehonderd miljoen euro nadat hackers van zowat half miljoen passagiers kredietkaarteninformatie hadden weten te bemachtigen. Marriott moest bijna 112 miljoen euro ophoesten, ook al na een cyberaanval waarbij persoonlijke reserveringsgegevens van hotelgasten lekten.
Google kreeg in Frankrijk een boete van vijftig miljoen omdat het zijn gebruikers niet genoeg informeerde over hoe hun gegevens door het bedrijf werden beheerd. Maar ook prominent in de top tien staan landen als Oostenrijk, Duitsland, Bulgarije en Nederland.
En België? In ons land gaat het er wat rustiger aan toe. In het overzicht dat Timelex deze zomer maakte, bleek ook al dat de meeste andere landen al iets fanatieker waren met boetes.
Van de vier Belgische GDPR-boetes die tot dusver werden gecommuniceerd, gingen er twee naar (ex-)burgemeesters. In mei dit jaar schreef onze privacy-autoriteit al een boete uit van tweeduizend euro aan een burgemeester. Zo’n week geleden werden twee nieuwe boetes uitgereikt aan (lokale) politici, telkens van vijfduizend euro.
In de beslissingen van privacy-instantie GBA vinden we ook nog een handelaar die als enig middel voor de aanmaak van een klantenkaart, de lezing van de elektronische identiteitskaart voorstelt. De opgelegde administratieve boete bedroeg toen tienduizend euro. De teller staat voorlopig dus op 32.000 euro, al geeft de GBA ook soms gewoon een berisping.
Data-inbreuken
Van boetes naar aanleiding van grootschalige hacks of data-inbreuken à la British Airways of Marriot is dus geen sprake. Qua boetes blijft ons land steken op het niveau van peanuts. Daar is niks mis mee. En geldboetes zijn maar één vorm van mogelijke sancties, zo benadrukt de GBA terecht.
Al zijn er zeker wel data-inbreuken. Een dikke week geleden moest de Belgische afdeling van maaltijdchequereus Edenred toegeven dat ze slachtoffer waren van een data-inbreuk. Het is een van de laatste grote namen in dit rijtje. Andere bekende namen waren Orange en Netlog. Ook zij moesten hun klanten verwittigen naar aanleiding van een dergelijk voorval.
Gemiddeld worden er in ons land zowat twee data-inbreken per dag gemeld bij de GBA. In vergelijking met Marriot en British Airways valt het in termen van boetes voorlopig dan nog best mee.
