Er waren nauwelijks gegevens gelekt in 2018?

De informatieopdracht van de Gegevens Beschermings Autoriteit (GBA) in België richt zich zowel tot verantwoordelijken voor de verwerking en burgers. De voornaamste informatietaak is het informeren van het publiek. De informatietaak kan zowel individueel gericht zijn (klantgerichte antwoorden), als gericht op een doelgroep (lezing) of het grote publiek (website).

De klantgerichte informatieondersteuning omvat twee groepen dossiers: informatiedossiers (waarin een vraag wordt beantwoord) en bemiddelingsdossiers (waarin de Autoriteit bemiddelt tussen de vrager en een derde). In 2018 heeft de Autoriteit 6.224 informatiedossiers en 295 bemiddelingsdossiers geopend.

Naast haar informatie- en bemiddelingstaken beantwoordde de Gegevens Beschermings Autoriteit ook 3.257 telefoonoproepen en andere korte vragen, waarbij het antwoord gebaseerd is op een gekend standpunt van de Autoriteit.

In 2018 heeft de Gegevens Beschermings Autoriteit 218 controledossiers opgestart. Daarvan hebben er 160 betrekking op het artikel 13 van de Privacywet (de onrechtstreekse toegang). Onrechtstreekse toegang betekent dat een persoon in bepaalde gevallen zijn recht van toegang niet rechtstreeks kan uitoefenen bij de instantie die zijn of haar persoonsgegevens verwerkt.

Sinds 25 mei 2018 is het ook verplicht om gegevenslekken te melden bij de Gegevens Beschermings Autoriteit. Daarvoor was dit enkel verplicht voor telecomoperatoren.

In 2018 ontving de Gegevens Beschermings Autoriteit 445 gegevenslekken (waarvan 12 uit de telecomsector). Zij verricht bij deze gegevenslekken steeds de nodige verificaties en neemt indien nodig contact op met de betrokken partijen.

Gevolg gegeven aan gegevenslekken

Resultaten gegevenslekken Aantal % dossiers
Verificaties verricht 304 94,41
Aanbeveling gevolgd 7 2,17
Aanbeveling niet gevolgd 2 0,62
Behandeling stopgezet 6 1,86
Dossier onontvankelijk 3 0,93

Meeste voorkomende types gegevenslekken

Voor gegevenslekken kwamen volgende 5 types het vaakst voor:

  1. Menselijke vergissing (28,09 %)
  2. Hacking, phishing & malware (22,70 %)
  3. Diefstal drager (12,81 %)
  4. Systeemfalen (10,56 %)
  5. Oneigenlijk gebruik toegangsrechten (5,17 %)

Slapende privacy waakhond

De Gegegevensbeschermingsautoriteit, of de GBA, kon nog geen stappen ondernemen omdat zij nog geen directiecomité had. De organisatie die de bevoegdheid had om eventuele inbreuken op te sporen en te bestraffen, kon nog niet veel doen.

En zo bleef het in de afgelopen 11 maanden relatief stil op gebied van GDPR, wat ongetwijfeld een opluchting voor veel bedrijven was.

Op 24 april 2019 bijna een jaar later na de meldingsplicht, legden de 5 officiële directeurs van de GBA hun eed af. Het einde van een rustige periode waarin ze als ‘slapende waakhond’ fungeerde. En de privacywaakhond is nu meer dan wakker. Volgens de nieuwe voorzitter David Stevens is de Gegevens Beschermings Autoriteit van plan om z’n tanden te laten zien.

GBA- voorzitter: ‘tijd van sit back en relax is voorbij’

In een artikel in de Tijd liet Stevens alvast het volgende weten: “De tijd van sit back and relax is voorbij. De Belgische bedrijven vertoonden zeker uitstelgedrag bij de invoering van de Europese databeschermingsregels, omdat de GBA nog geen directiecomité had”.

Bedrijven die nog niet volledig volgens de GDPR werken zijn bij deze gewaarschuwd, want het spreekwoord zegt dat je geen slapende honden wakker moet maken.

Bron: Gegevens Beschermings Autoriteit website, Jaarverslag 2018