Back

Websitebeheerder krijgt boete voor slordig privacy- en cookiebeleid

 
PUBLICATION

Websitebeheerder krijgt boete voor slordig privacy- en cookiebeleid

Jill Leen, Kristof Zadora

De Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) legt voor het eerst een boete op aan een websitebeheerder voor een slordig privacy- en cookiebeleid. De boete bedroeg 15.000,00 EUR. Dit is tot dusver de hoogste boete die in België werd opgelegd wegens inbreuken op de GDPR. De beslissing van de GBA is zodanig streng dat vele websites een dergelijke sanctie riskeren.

Hieronder vatten wij de belangrijkste overwegingen van de beslissing samen, zodat u kan controleren of uw privacy- en cookiebeleid de test zou doorstaan.

De website in kwestie, is een website gespecialiseerd in juridisch nieuws van, voor en over rechtsbeoefenaars, met een maandelijks bereik van 35.000 bezoekers.

  1. Onderzoek door de Inspectiedienst van de GBA

Het Directiecomité van de GBA stelde vast dat het privacybeleid en het cookiebeheer van de website in kwestie niet GDPR-conform was. Om die reden maakte het Directiecomité de zaak op 27 februari 2019 aanhangig bij de Inspectiedienst van de GBA.  De inspectiedienst verrichtte vervolgens een onderzoek naar de website.

In de loop van het onderzoek werden verschillende inbreuken op de GDPR vastgesteld door de Inspectiedienst. Hierna worden de voornaamste schendingen opgesomd:

  1. Schendingen inzake transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene:
  1. de privacyverklaring was enkel beschikbaar in het Engels, daar waar de website zich tot een Nederlands en Franstalig publiek richtte;
  2. de informatie was niet eenvoudig toegankelijk voor de betrokkenen;
  3. er werd in de privacyverklaring verwezen naar de “US privacy law”;
  4. de privacyverklaring maakte de vermelding dat een IP-adres niet kwalificeert als een persoonsgegeven.
     
  1. Schendingen vastgesteld in de privacyverklaring, inzake te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld:
  1. de identiteit en de contactgegevens van de verwerkingsverantwoordelijke werden niet vermeld;
  2. er werd niet kenbaar gemaakt over welke privacy-rechten de betrokkenen beschikken (waaronder het recht om klacht in te dienen bij de GBA);
  3. betrokkenen werden niet geïnformeerd over de rechtsgrond voor elke verwerking, noch over de specifieke verwerkingsdoeleinden;
  4. de bewaartermijnen voor de verwerkte persoonsgegevens werden niet meegedeeld.

 

  1. Vaststellingen in verband met de verplichting inzake toestemming:
  1. er werd geen toestemming gevraagd voor het gebruik van cookies (noch voor de cookies van de verwerkingsverantwoordelijke, noch voor deze van derden (zoals Google));
  2. de toestemming werd verkregen op basis van een reeds aangekruist venster, hetgeen géén geldige toestemming is in het licht van de GDPR.

De websitebeheerder voerde tijdens het onderzoek van de Inspectiedienst meermaals aanpassingen door aan haar privacybeleid en cookiebeheer om zich te conformeren met de GDPR. Doch stelde de Inspectiedienst hierna vast dat de website nog steeds niet GDPR-conform was.

Op 3 juni 2019 maakte de Inspectiedienst haar eindverslag over aan de Geschillenkamer van de GBA, alwaar het dossier ten gronde werd behandeld.

 

  1. De procedure voor de Geschillenkamer

De Geschillenkamer stelde vast dat bepaalde oorspronkelijke schendingen op de GDPR, in latere versies van de website opgelost waren. Desondanks oordeelde de Geschillenkamer dat de websitebeheerder een onzorgvuldige houding aannam ten aanzien van meerdere aspecten van haar transparantieverplichtingen, en dat – zelfs na diens inspanningen om de website aan te passen – niet alle onnauwkeurigheden verholpen zijn.

Ook na de aanpassingen verstrekt de websitebeheerder onvoldoende informatie inzake het recht van de betrokkene om zijn toestemming in te trekken.

Daarnaast bevatte de website de verkeerde vermelding dat bepaalde gegevensverwerkingen ‘anoniem’ verliepen, alhoewel er in de praktijk slechts sprake was van pseudonimisatie (er werd een ‘willekeurig gekozen identificatienummer’ toegekend aan elke bezoeker). Van anonimisatie kan slechts sprake zijn als het werkelijk onmogelijk is om de betrokken gegevens, direct of indirect, aan een individu te linken.

De websitebeheerder tracht het gebrek aan informatie te rechtvaardigen door te verwijzen naar de specifieke doelgroep van de website (met name advocaten, fiscalisten, juristen, notarissen, etc.). Doch wordt dit verweer niet aanvaard door de Geschillenkamer. De informatie die op grond van de GDPR moet worden meegedeeld moet weliswaar begrijpelijk zijn, hetgeen betekent dat de informatie qua taalniveau aan de doelgroep moet worden aangepast. Dat de informatie ook “beknopt” moet zijn, betekent echter niet dat er afbreuk mag worden gedaan aan het vermelden van de krachtens artikel 13 verplichte informatie, zelfs al is de betrokken doelgroep van universitair niveau.

Daarnaast oordeelt de Geschillenkamer dat de websitebeheerder er niet in slaagt om aan te tonen dat er (een geldige) toestemming wordt gevraagd aan de betrokkenen voor het gebruiken van bepaalde cookies, en dat er – op onrechtmatige wijze – een beroep wordt gedaan op de rechtsgrond “ons gerechtvaardigd belang” voor cookies die gebruikt worden met het oogmerk om het gebruik van de website te vereenvoudigen én om statistische gegevens met betrekking tot het gebruik van de website te verzamelen.

  1. Beslissing wat betreft de sancties

De Geschillenkamer is van oordeel dat de inbreuken op de GDPR bewezen zijn.

Gelet op de context, de vaststellingen en de onzorgvuldigheid van de websitebeheerder in verband met de transparantie en juistheid van de privacyverklaring, alsook het plaatsen van cookies zonder toestemming, legt de Geschillenkamer een administratieve geldboete op van 15.000,00 EUR.

Dit is tot dusver de hoogste boete die in België werd opgelegd wegens inbreuken op de GDPR.

  1. Vervolg?

Tegen deze beslissing van de GBA, kan de websitebeheerder binnen een termijn van 30 dagen (vanaf de betekening van de kennisgeving) een beroep aantekenen bij het Marktenhof te Brussel.

  1. Preventietips

Het basisbeginsel waarover deze beslissing gaat is het ‘transparantiebeginsel’. Dit houdt onder meer in dat elke verwerkingsverantwoordelijke de betrokkenen concreet dient te informeren over de verwerking van diens persoonsgegevens. De GDPR specifieert concreet welke informatie er aan de betrokkenen dient te worden verstrekt (artikelen 13 en 14 GDPR). Daarnaast moet de onderneming op elk ogenblik kunnen aantonen dat zij deze verplichting heeft nageleefd.

Enkele tips om aan deze verplichting te voldoen:

  1. Voorzie de nodige informatiedocumenten (bv. privacy policy, informatienota) op een plaats die voor de betrokkenen gemakkelijk toegankelijk is (bv. op de website, intranet, etc.);
  2. Informatiedocumenten moeten steeds op maat van de onderneming worden opgesteld;
  3. Zorg ervoor dat het taalniveau- en de taal afgestemd zijn op de doelgroep;
  4. Let erop dat de informatie in het privacybeleid waarheidsgetrouw is;
  5. Gebruik het verwerkingsregister om de informatiedocumenten op te stellen;
  6. Verifieer of de informatiedocumenten alle verplichte vermeldingen bevatten overeenkomstig de GDPR;
  7. Voorzie een methode of mechanisme opdat er kan worden aangetoond dat de informatie daadwerkelijk ter beschikking werd gesteld aan de betrokkenen.

Het belang van een goed privacy- en cookiebeleid kan niet onderschat worden. Monard Law staat u graag bij om uw beleid onder de loep te nemen om soortgelijke beslissingen van de GBA te voorkomen.

Questions about this article? Ask our specialists