RGPD: Pas op voor schadeclaims in de rechtbank

NOYB (none of your business), een NGO die achter de actie tegen Facebook en de Privacy Shield uitspraak zit, heeft zojuist het recht gekregen om consumenten en burgers te vertegenwoordigen voor de rechtbank in België. Het is daarom nuttig eraan te herinneren dat organisaties, kmo's, NPO's, zelfstandigen en hier ook de overheidssector, ook het risico lopen voor de rechter veroordeeld te worden tot het betalen van schadevergoeding wegens niet-naleving van de GDPR.

Men heeft het vaak over de boetes, die aanzienlijk kunnen zijn, maar men vergeet vaak dat de risico's niet beperkt blijven tot de boetes. Minder vaak wordt vermeld dat de publicatie van de sanctie uiteraard de reputatie van de organisatie kan schaden. Maar we vergeten dat het ook mogelijk is om voor de rechter schadevergoeding te krijgen, met name in het kader van class actions. Daarom moet worden herinnerd aan de risico's die ALLE organisaties, maar ook het MKB, zelfstandigen en vrije beroepen lopen.

En deze risico's zijn reëel, want in mijn professionele praktijk als DPO, trainer voor DPO, CEO van GDPRfolder en het adviseren van organisaties, groot en klein, in de openbare en particuliere sector, zie ik dat veel van hen nog niet aan de eisen voldoen en dat sommige gewoon hebben besloten niets te doen of het absolute minimum te doen.

De risico's zijn echter aanzienlijk en het is de moeite waard ze in herinnering te brengen.

Er wordt niet vaak over gesproken, maar het aantal klachten is zeer hoog, zelfs in België. Het indienen van een klacht is gratis, vereist geen bijstand van een advocaat en kan in enkele minuten worden gedaan door een formulier in te vullen op de website van de gegevensbeschermingsautoriteit. De klacht zal de basis vormen voor een controle door de gegevensbeschermingsautoriteit, die tot een sanctie kan leiden.

De boetes, die aanzienlijk kunnen zijn omdat ze kunnen oplopen tot 20 miljoen euro en voor grote ondernemingen zelfs hoger kunnen oplopen tot 4% van de jaaromzet. En terwijl de bedragen in Europa in de honderden miljoenen euro's lopen, heeft de Belgische overheid helaas, om politieke redenen in plaats van ter verdediging van consumenten en burgers, slechts zeer lage boetes opgelegd, wat totaal contraproductief is ten opzichte van de rol van de overheid, die organisaties en zelfstandigen er met alle middelen van moet overtuigen zich aan de BPR te houden.

Want hoe kun je bijvoorbeeld een VZW overtuigen om orde op zaken te stellen als de hoogste boete in deze sector 1.000 euro was. Hoe kunt u niet begrijpen dat NPO's liever niet uitgeven aan advies of IT-oplossingen die vaak duurder zijn dan de maximale boete? Als de gendarme niet eng is, waarom dan de wet respecteren?

Een ander verrassend Belgisch kenmerk is dat de boetes niet gelden voor de publieke sector. Deze discriminatie, die door alle juristen is veroordeeld wegens het ontbreken van een juridische rechtvaardiging, en waartegen nu beroep is aangetekend, heeft uiteraard niet alle actoren in de openbare sector ertoe aangezet zich aan te passen. Ik hoorde zelfs een hoge ambtenaar van een regering verklaren dat aangezien er geen sancties waren de RGPD "niet echt een prioriteit is".

Het is duidelijk dat uw klanten, abonnees, leden, prospects, enz. niet graag zouden zien dat u door de gegevensbeschermingsautoriteit op de vingers wordt getikt. Het indirecte gevolg kan een verlies van huidige of toekomstige klanten zijn. Bovendien zullen uw concurrenten niet nalaten dit kenbaar te maken, vooral als zij zich zorgvuldig aan de voorschriften hebben gehouden. Niet te vergeten dat de pers en sociale netwerken dol zijn op dit soort incidenten.

Het wordt vaak vergeten, maar behalve sancties van de gegevensbeschermingsautoriteit kunnen burgers en consumenten ook gerechtelijke stappen ondernemen en schadevergoeding eisen. Dit soort procedures is natuurlijk zeldzaam, omdat daarvoor een advocaat moet worden ingeschakeld en de kosten hoger kunnen uitvallen dan het schadebedrag.

Maar we mogen niet vergeten dat collectieve acties mogelijk zijn. Test-Aankoop is bijvoorbeeld een dergelijke actie tegen Facebook begonnen door talrijke consumenten te vertegenwoordigen. Het voordeel van deze collectieve acties is dat de juridische kosten worden gedeeld door alle consumenten die zich verenigen, zodat dit soort acties zich uiteraard zal ontwikkelen.

De recente beslissing om NOYB toe te staan groepsacties in te stellen heeft ons eraan herinnerd dat groepsacties niet alleen theoretisch zijn. En als we weten dat NOYB onlangs al een klacht heeft ingediend tegen enkele Belgische bedrijven die zich niet hielden aan het besluit van het Europees Hof van Justitie om de doorgifte van persoonsgegevens naar de VS te verbieden, is het risico reëel - en ze hebben deze informatie op hun website gepubliceerd, waarbij ze de nadruk leggen op de mogelijkheden die deze erkenning hen biedt om miljoenen euro's te eisen namens de consumenten die ze zullen verdedigen.

Class actions, die in Angelsaksische landen heel gebruikelijk zijn, zijn in België niet zo bekend. We kunnen gerust stellen dat NOYB het recht heeft gevraagd en gekregen om in België class actions in te stellen.

En hoewel de publieke sector tijdelijk immuun is voor boetes, is er geen reden waarom een collectieve actie niet gericht zou zijn tegen een actor uit de publieke sector en is een toekenning van schadevergoeding dus heel goed mogelijk.

Wat kunt u anders aanbevelen dan dat u, geconfronteerd met deze reële risico's, zo snel mogelijk orde op zaken stelt met betrekking tot de RGPD. De risicoanalyse waarbij het financiële risico werd afgewogen tegen de kosten van naleving is veranderd. Het risico is groot geworden, het aantal klachten explodeert en er zijn goedkope en doeltreffende oplossingen die u kunnen helpen.