in Prismic & NextjsDe eerste GDPR monsterboete is een feit
TL;DR: De kogel is door de kerk, op 21 januari 2019, werd de eerste grote sanctie gegeven in het kader van de GDPR. De eerste monsterboete aan een multinational is een feit. De multinational die hangt is Google, voor maar liefst 50 miljoen euro.
De kogel is door de kerk, op 21 januari 2019, werd de eerste grote sanctie gegeven in het kader van de GDPR. De eerste monsterboete aan een multinational is een feit. De multinational die hangt is Google, voor maar liefst 50 miljoen euro. De CNIL (Commission nationale de l’informatique et des libertés), authoriteit gegevensbescherming in Frankrijk, kaartte een rechtzaak aan tegen Google LLC uit naam van 10.000 burgers.
Onder vuur lag de wijze waarop de multinational opereert, die is niet transparant (genoeg). Google biedt gebrekkige informatie over wat ze nu eigenlijk doen met de gegevens van gebruikers. Hierdoor kunnen ze ook niet op de correcte manier om toestemming vragen, noch kunnen gerbuikers die ten volle geven. Je kan immers geen toestemming geven over iets wat je niet begrijpt, noch als de informatie die je ontvangt onduidelijk, ontransparant, complex of vaag is.
Dat Google de eerste is, is niet helemaal terecht volgens mij. Google doet het niet volledig goed volgens de GDPR, maar de instellingen en nodige informatie bestaan wel, als je echt gericht op zoek gaat en tijd investeert vind je ze. Facebook daarintegen, is al veel langer en grover bezig met onze persoonlijke gegevens. Al 10 jaar staan ze op de radar en zijn ze zoveel intrinsieker in het misbruiken van persoonsgegevens. Op Facebook ben je geen gebruiker, nooit geweest. Je bent het product. Iets wat vaak in de media naar voor komt... Toch laten sancties nog op zich wachten. De boete die voor hen klaarligt, zou kunnen oplopen tot 1.36 miljard euro, nu dat is pas een monster.
Ik hou al goed een jaar al het GDPR nieuws in de gaten. Alle informatie, feiten en tips verzamel ik een 'knowledgebase' of kennisdatabank die Baseven noemt (van Base en Heven, mijn bedrijf). Maar goed een half jaar na datum (inwerking treding GDPR), heb ik noch opmerkelijk weinig te rapporteren over de handhaving van deze privacywetgeving. Er vielen al enkel boetes, dat wel. Maar niet in Belgie, niet bij ons. Als hart van Europa, lopen we ook hier weer achter. Ruim twee maanden te laat waren onze eigen authoriteiten met het zich in orde stellen met de GDPR. En ook op handhavingsvlak zullen we weer te laat zijn. De GBA (gegevensbeschermingsauthoriteit) liet al weten dat ze in eerste instantie niet focussen op sancties (waarop dan wel?), dat boetes in slechts uitzonderlijke gevallen zullen voorkomen. Dat zet een mooi en duidelijk precedent, denk ik zo. Stel je maar in orde hoor, maar controleren of beboeten zullen we niet. Het is namelijk zo, dat de GDPR wetgeving lidstaten aanmoedigt in hun handhaving. Dat het de bedoeling is om boetes en andere sancties op te leggen, omdat de gegevensbeschermingsauthoriteiten 'effectief, proportioneel en ontradend' moeten werken.
Frankrijk plaatst zich hier meteen als GDPR koploper, door multinational Google LLC aan te klagen wegens noncompliancy met de principes van de GDPR. Google faalt in het bieden van transparantie informatie en faalt in het verkrijgen van de nodige toestemming van gebruikers. Dit werd aan de CNIL gerapporteerd in een klacht door twee associaties: NOYB (None of You Business), die zich inzet voor digitale privacy rechten, klaagde samen met La Quadrature du Net (LQDN) Google aan. Ze meenden dat Google geen wettelijke grond heeft omschreven voor de verwerking van persoonsgegevens. Ook worden gebruikers van de dienst, niet voledoende geïnformeerd. Artikels 12, 13 en 14 van de GDPR spreken over het recht op toegang tot informatie.
Een korte samenvatting van de artikels (lees je graag de volledige wetgeving eens na, dat kan via de link onderaan): Art. 12: Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene. Dit artikel zegt bijvoorbeeld dat de communicatie (rond je persoonsgegevens en wat ze daarmee doen) in een 'beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal' moet zijn. Art. 13: Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld. Zoals de contactgegevens van der verwerkingsverantwoordelijke, de doeleinden of rechtsgrond voor de verwerking, duur dat de gegevens worden opgeslagen (retentieperiode), dat de betrokkenen recht heeft tot inzage, rectificatie of wissing van diens gegevens, Art. 14: Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen (je meldt je aan bij Google, maar eigenlijk meld je je ook aan bij Youtube).
De informatie die Google diens gebruikers moest bieden, onder de GDPR, werd niet verstrekt op een simpele manier. Wat Google doet met je data en de bijhorende explicatie is verspreid over verschillende documeten, gevolgd door verschillend stappen... Het is best een complex proces, dat ik persoonlijk ook geen zin in had om te doorlopen. Hun uitleg is vaag en soms gewoon onduidelijk. Zelfs na het doorlopen van alle stappen, blijven zaken onduidelijk, zoals hoe lang Google de data bewaart en verwerkt. Een van de stergere vereisten onder de GDPR zegt namelijk dat je niet zomaar gegevens mag bijhouden, dat dit altijd beperkt moet zijn in tijd en met een duidelijk omschreven doel (rechtsgrond).
Google had wel een rechtsgrond voor de verwerking van persoonlijke gegevens om bijv. hun gepersonaliseerde advertenties te kunnen tonen. Maar faalde er enorm hard in om die duidelijk te maken aan diens gebruikers. Bovendien is die rechtsgrond gebaseerd op toestemming, die je als gebruiker niet kan geven als je gebrekkig bent geïnformeerd. Indien de verwerkinggrond is gebaseerd op toestemming, dan moet ook aan meer eisen worden voldaan (artikel 7 GDPR).
Art 7: Voorwaarden voor toestemming: toestemming moet je kunnen aantonen (bewijs leveren), moet in makkelijke toegankelijke vorm worden gepersenteerd, per onderdeel (opgeplitst), toestemming kan je altijd intrekken als gebruiker, moet vrijelijk worden gegeven.
Google slaagde er niet om te voldoen aan volgende condities:
- Het bieden van voldoende informatie aan gebruikers over het geven van hun toestemming. Je denkt namelijk toestemming te geven aan een bepaalde dienst van Google, maar je gegevens worden ook gebruik voor de Google Zoekmachine, voor Youtube, voor Google Photo's, Gmail, gepersonaliseerde advertenties op externe sites, enzovoort. Les 1 toestemming & GDPR: informeer en maak bewust
- Gebruikers ondernamen geen actieve handeling tijdens het geven van toestemming. Om toestemming uitdrukkelijk te geven moet je namelijk iets proactief 'doen'. De checkboxen die google gebruikte waren reeds aangevinkt. Gebruikers moesten ook op eigen initiatief doorheen alle pagina's navigeren om ten volle te kunnen begrijpen wat/waar ze juist hun toestemming voor gaven. Les 2 toestemming & GDPR: geen vooraf aangevinkte checkboxen meer, ever
- Google maakte het tenslotte niet mogelijk om aan trapgewijze toestemming te doen, het is alles of niets. Een goede praktijk onder de GDPR is toestemming te vragen voor elke aparte actie. Bijvoorbeeld apart toestemming vragen voor het aanbieden van gepersonaliseerde advertenties, apart voor de nieuwsbrief, apart voor notificaties, apart voor zaken openbaar te plaatsen, ... In plaats van gelijdelijke of trapsgewijs toestemming te vragen, moesten gebruikers van Google steeds verplicht instemmen met alle voorwaarden. Niet (helemaal) akkoord, dan mag je Google niet gebruiken. Les 3 toestemming & GDPR: geen keuze mogelijk? = geen sprake van toestemming!
Google werd in totaal $57 milioen beboet, dat is 50 miljoen euro. Het niet compliant werken met de GDPR kan voor iedereen, niet alleen voor de grote multinationals, een boete opleveren van 20 miljoen euro of 4% van de jaaromzet (wat hoger is). Nu de eerste recordboete is gegeven, kunnen we ons ook meteen de vraag stellen of dit bedrag eigenlijk wel hoog genoeg is (als je weet dat voor Facebook een boete van 1.36 miljard euro klaarligt)? Heeft Google het met deze sanctie nu wel begrepen? Gaan ze nu braafjes het GDPR pad mee bewandelen? Google's repliek was alvast dat ze zich sterk verbinden met transparantie en dat dit hun volgende stappen zal bepalen.
Een boete van 50 miljoen euro voor Google “Deeply committed” to transparency and it's deciding “our next steps"
De NOYB directeur, Max Schrems, maakte het volgende statement:
“Large corporations such as Google simply ‘interpret the law differently’ and have often only superficially adapted their products,” “It is important that the authorities make it clear that simply claiming to be compliant is not enough.”
Wijze woorden! België heb je dit gehoord? Je moet duidelijk maken dat zeggen dat je iets bent niet genoeg is, je moet het ook zijn en doen.
Dat de beboeting van Google niet als een verrassing komt, dat is zo. Net zoals de beboeting van Facebook ook only a matter of time is. En een mooi bedrag werd verkregen. Wel liet Google weten dat ze zich zullen verzetten en in beroep gaan tegen de beslissing. De acties van de CNIL zette een precedent dat werd geanticipeerd door vele organisatie en werd gehoopt door ons als burgers. Het wachten op de eerste monsterboete is gepasseerd, nu is het afwachten of andere toezichthoudende authoriteiten het voorbeeld zullen volgen...
Hallo België? Doen wij nog iets?
Hoe het zit met boetes en sancties sinds 25 mei? Even een korte stand van zaken:
1/ Frankrijk 7/6/18 | Een optiekzaak: 250.000 euro, beveiligingsprobleem in hun webshop 28/6/18 | Een dakloze opvang associatie: 75.000 euro, beveiligingsprobleem van de website (url-modificatie) 31/7/18 | Een sociaal logement dienst: 30.000 euro, persoonsgegevens gebruiken voor ander doeleinden 20/9/18 | Callcentrum: 10.000 euro, telefoon van werknemers werd geregistreerd en biometrische gegevens werden gebruikt zonder toestemming van werknemers 27/9/18 | Onderwijsinstelling: 30.000 euro, securityproblemen website (url-modificatie) 20/12/18 | Uber: 400.000 euro, achterhouden van grootschalige hacking in 2017 27/12/18 | Telecombedrijf: 250.000 euro, Securityproblemen website (url-modificatie) 21/1/19 | Google: 50.000.000 euro, globale rechtsgrond voor verwerking (toestemming) werd verworpen
2/ Nederland: 9/8/18 | Een bank: 48.000 euro, niet voldaan aan recht tot inzage 20/9/18 | De politiedienst: 40.000 euro, niet genoeg veiligheidsmaatregelen getroffen 27/11/18 | Uber: 600.000 euro, niet volgen van meldplicht na een hack
3/ Duitsland: 21/11/18 | Knuddels, een chat/community platform: 20000 euro, datalek van 1.8 miljoen usernames en wachtwoorden (die onversleuteld werden opgeslagen, shame shame shame!)
Op geen plaats, of laatst... Ik zoek het nog eens verder uit. Staat Belgie. We ondernamen nog geen actie. Voorlopig laten we andere lidstaten het goede voorbeeld geven.
Overigens werden er sinds 25 mei (inwerking treden GDPR) al meer dan 95.000 klachten neergelegd bij de Europese autoriteiten. Dit bevestigde de europese toezichthouders in een gezamenlijke verklaring op maandag 28 januari in kader van Data Protection Day. Eurocommissarissen Frans Timmermans, Andrus Ansip, Mariya Gabriel en Vera Jourova stellen dat Europese burgers nu beter op de hoogte zijn van hun rechten en deze ook willen afdwingen. Het grote deel van de klachten richten zich naar telemarketing, reclamemails en videosurveillance via closed-circuit television (CCTV). 225 onderzoeken zijn naar aanleiding van de klachten geopend. Dit leidde ook al tot een aantal boetes, waarvan de laatste dus de recordboete van 50 miljoen is die Google opgelegd kreeg. Google wil alvast in hoger beroep gaan tegen de beslissing.
