GDPR-inbreuk kan leiden tot blokkering .be-websites

De Belgische Gegevensbeschermingsautoriteit (GBA) en DNS Belgium, verantwoordelijk voor de registratie en het beheer van alle .be-domeinnamen (en ook de .vlaanderen- en .brussels-domeinnamen), hebben een samenwerkingsprotocol gesloten dat toelaat om .be-websites offline te halen voor GDPR-inbreuken. 

Het samenwerkingsprotocol is in het Nederlands en het Frans beschikbaar.

Samenwerking GBA en DNS op twee vlakken

1. Medewerking aan onderzoeken van de Inspectiedienst van de GBA

Het samenwerkingsprotocol bepaalt dat DNS Belgium aan de Inspectiedienst van de GBA:

• alle inlichtingen zal overmaken waarover zij beschikt en dit telkens wanneer de Inspectiedienst van de GBA deze nuttig acht voor haar in de Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (“WOG”) bepaalde onderzoeksopdracht,
• gelijk welke informatiedragers ter inzage zal overleggen en kopieën ervan verstrekken onder gelijk welke vorm, wanneer de Inspectiedienst van de GBA deze nuttig acht voor haar in de WOG bepaalde onderzoeksopdracht.

Indien deze  inlichtingen deel uitmaken van een lopend opsporings- of gerechtelijk onderzoek, bepaalt het samenwerkingsprotocol dat deze inlichtingen slechts mits voorafgaande machtiging van de procureur des Konings of de onderzoeksrechter worden verstrekt.

2. Notice & action-procedure (N&A-procedure)

Bestaande samenwerkingen 

DNS Belgium heeft reeds bestaande en gelijkaardige samenwerkingen, bijvoorbeeld met de FOD Economie. Hierdoor kunnen frauduleuze websites, zoals fake webshops, fake incassobureaus of phishingwebsites zeer snel worden geblokkeerd. Volgens DNS Belgium werden er in 2019 maar liefst 5733 domeinnamen geblokkeerd.

De vereenvoudigde N&A-procedure, een aanvulling op andere procedures van DNS Belgium, laat toe om frauduleuze websites met correcte identificatiegegevens (of identificatiegegevens waarvan niet bewezen kon worden dat ze vals zijn) te blokkeren zonder dat er een verzoek bij het parket nodig is. Hierdoor kunnen enkele weken worden uitgespaard. 

De bedoeling is dat deze N&A-procedure enkel wordt toegepast bij ernstige misdrijven. De domeinnaamhouder beschikt ook over een periode van twee weken op te reageren. Pas na zes maanden vervalt de geblokkeerde domeinnaam. 

GBA sluit zich nu aan

Door het samenwerkingsprotocol tussen DNS Belgium en de GBA dat van toepassing is sinds 1 december 2020, kan de GBA ook gebruik maken van een gelijkaardige N&A-procedure bij inbreuken op de GDPR. 

Het toepassingsgebied van de N&A-procedure is echter beperkt tot zware inbreuken, namelijk: “inbreuken die de te beschermen belangen het zwaarst schaden, gepleegd door organisaties of personen die bewust deze wetgeving overtreden en die toch hun verwerking van persoonsgegevens voortzetten, ook al richtten de Inspectiedienst of de Geschillenkamer van de GBA eerder tot hen het bevel om de verwerking (voorlopig) op te schorten, te beperken, te bevriezen of stop te zetten.” (eigen onderlijning)

Het moet dus gaan om een inbreuk die:

• zwaar is (nl. op de grondbeginselen van de bescherming van de persoonlijke levenssfeer),
• bewust wordt gepleegd, en 
• wordt voortgezet ondanks een bevel tot (voorlopige) opschorting, beperking, bevriezing of stopzetting van de GBA.

Volgens het samenwerkingsprotocol is een beperking van het toepassingsgebied van de N&A-procedure nodig om een eerlijk evenwicht te behouden tussen:

• enerzijds, de doelstelling om inbreuken op de grondbeginselen van de bescherming van de persoonlijke levenssfeer te doen stoppen in het belang van de burger, en
• anderzijds, het gebruik van de noodzakelijke technische middelen door DNS Belgium om aan deze doelstelling te beantwoorden.

Procedure

De GBA kan een verzoek per e-mail sturen naar DNS Belgium om een bepaalde .be-domeinnaam te laten blokkeren. Vervolgens zal DNS Belgium de domeinnaamhouder op de hoogte brengen en de domeinnaam laten doorverwijzen naar een waarschuwingspagina van de GBA. 

Vervolgens heeft de domeinnaamhouder twee weken om te reageren en herstelmaatregelen te nemen. In het kader van de samenwerking van de FOD Economie maken domeinnaamhouders bijna nooit van deze mogelijkheid gebruik volgens DNS Belgium. Dit zou erop wijzen dat het effectief meestal om oplichters gaat. 

Openstaande vragen

De N&A-procedure is voor de GBA een bijkomend instrument om zware GDPR-inbreuken snel te doen stoppen. Toch laat het instrument de verwerking van persoonsgegevens die reeds zijn verzameld via de website onverlet. 

Daarnaast zijn er ook nog een aantal openstaande vragen:

• Welke inbreuken zijn zwaarwichtig genoeg voor de toepassing van de N&A-procedure?
• Zullen ook websites die de cookieregels schenden worden geblokkeerd?
• Heeft de blokkering ook een impact op een eventuele administratieve geldboete?
• Wat met de verloren inkomsten bij een onterechte blokkering (het samenwerkingsprotocol bepaalt dat de GBA – niet DNS Belgium – verantwoordelijk zal zijn voor een eventuele foute kwalificatie van de inbreuk)?
• Moet er een rechtstreeks verband zijn tussen de website en de GDPR-inbreuk (bv. kan een website worden geblokkeerd voor een inbreuk op de camerawetgeving?)
• Wat zal er staan op de waarschuwingspagina van de GBA?

In het samenwerkingsprotocol is ook een engagement opgenomen om de samenwerking in de toekomst uit te breiden tot de domeinnaamzones .vlaanderen en .brussels.

Wij houden u op de hoogte van de ontwikkelingen. 

Werd de website van uw organisatie (onterecht) geblokkeerd? Of heeft u andere vragen over gegevensbescherming of cookies? Contacteer ons. U kunt ons ook volgen op LinkedIn.