De krantenkoppen over GDPR-boetes van miljoenen euro's jagen veel ondernemers schrik aan. Maar wat riskeert een kleine Belgische onderneming nu echt? Tijd voor een nuchtere kijk op de boetes van de Gegevensbeschermingsautoriteit (GBA).
De twee wettelijke niveaus
De GDPR voorziet twee plafonds. Voor inbreuken zoals een ontbrekend verwerkingsregister of gebrekkige beveiliging geldt tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Voor zwaardere inbreuken, zoals het schenden van grondbeginselen of rechten van betrokkenen, tot 20 miljoen euro of 4 procent. Telkens geldt het hoogste bedrag.
Wie legt ze op?
In België beslist de Geschillenkamer van de GBA over sancties, na onderzoek en met respect voor het recht op verdediging. De plafonds zijn maxima; ze worden zelden volledig benut, zeker niet bij kleine spelers.
Waar de GBA op let
De Geschillenkamer weegt de aard, ernst en duur van de inbreuk, het opzettelijke of nalatige karakter, de getroffen maatregelen en de mate van medewerking. Wie te goeder trouw is en snel bijstuurt, komt er doorgaans veel milder vanaf.
Niet alleen boetes
De GBA beschikt over meer dan geldboetes. Ze kan een waarschuwing of berisping geven, bevelen om de verwerking in orde te brengen, of een verwerking tijdelijk of definitief laten stopzetten. Voor kleine ondernemingen is dat laatste vaak ingrijpender dan een bedrag.
De beste verzekering
Een correct privacybeleid, een verwerkingsregister en verwerkersovereenkomsten verlagen je risico aanzienlijk. Ze tonen dat je je verantwoordelijkheid neemt, en net dat weegt mee in elke beoordeling.
De boodschap is dus niet paniek, maar zorgvuldigheid: wie de basis op orde heeft, hoeft de cijfers uit de krantenkoppen niet te vrezen.
Klaar om jouw privacybeleid te maken?
Gebruik onze gratis generator en heb in enkele minuten een juridisch correct privacybeleid op maat.
Start de generator - gratis