AVG viert eerste verjaardag

Jordi Smit
De eerste helft van 2018 stond bij veel bedrijven, organisaties en instellingen in het teken van slechts één onderwerp: de naderende inwerkingtreding van de AVG, de Algemene Verordening Persoonsgegevens. Aangejaagd door soms wat hysterische berichtgeving in de media en met torenhoge boetes in het vooruitzicht probeerden duizenden marketeers, privacy-deskundigen en onwetende CEO’s hun bedrijf op tijd AVG-proof te maken. Maar wat gebeurde er op 25 mei 2018? Bar weinig. Wat nu?

AVG in werking

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (in het Engels GDPR) in werking getreden. Op 4 mei 2016 is deze voornoemde wetgeving in het publicatieblad van de Europese Unie gepubliceerd. De AVG kende een overgangsperiode van bijna twee jaar en is vanaf 25 mei 2018 voor alle landen binnen de Europese Unie van toepassing. De wetgeving geldt overigens ook voor bedrijven en organisaties die zijn gevestigd buiten de Europese Unie, maar wel hun diensten in de Europese Unie aanbieden.

Vanaf het in werking treden van de AVG, rust op iedere organisatie onder meer de plicht om alle medewerkers, leerlingen, cliënten, relaties, klanten, etc. (lees: betrokkenen) te informeren omtrent de verwerking van zijn of haar persoonsgegevens. De organisatie dient deze informatie bovendien in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal te verstrekken. Daarnaast moet de organisatie alle betrokkenen wijzen op hun rechten, waaronder het recht op inzage, rectificatie of verwijdering van persoonsgegevens. Ook moet de organisatie de betrokkenen wijzen op het feit dat men eventuele klachten bij de landelijke autoriteiten kan indienen. In Nederland is dit de Autoriteit Persoonsgegevens (AP); in België de Gegevensbeschermingsautoriteit.

Zachte handhaving

Het klinkt allemaal heftig, maar wat heeft het uiteindelijk opgeleverd? Wat blijkt: slechts een paar boetes. Plus 600 klachten van mensen bij de Autoriteit Persoonsgegevens (AP): de organisatie die in Nederland de AVG moet naleven. Daarvan werden er 400 in behandeling genomen, tot boetes leidde dat niet. Niet verwonderlijk ook, aangezien de overheid in het landsbelang had aangedrongen op een zachte behandeling door de AP. Geen boetes, hooguit een vriendelijke vermaning. Foei! Niet meer doen!

UWV

Ironisch genoeg viel een van de boetes juist bij een semi-overheidsinstelling. Het UWV kreeg een dwangsom van € 150.000,- per maand opgelegd vanwege de slechte beveiliging van hun immense database aan persoonsgegevens. Vervelend voor het UWV, het bedrijf ligt hier niet van wakker. De grote vraag is hoe het nu verder gaat. Daarover zijn de meningen verdeeld. Ruwweg zijn er twee scenario’s te schetsen.

Cijfers OnePoll

De Algemene Verordening Gegevensbescherming (AVG) blijkt echter nog niet bepaald omarmd door de Nederlandse samenleving, zo blijkt uit onderzoek uitgevoerd door OnePoll. Maar liefst 20 procent van de onderzochte populatie geeft aan geen idee te hebben wat de AVG precies is. Het onderzoek werd uitgevoerd onder 500 Nederlandse medewerkers in diverse sectoren. Naast dat 1 op de 5 weinig tot niets van de AVG weet, geeft ruim 60 procent aan dat ze redelijk tot goed op de hoogte zijn van de AVG.

De 400 Nederlanders die wel (tot op zekere hoogte) weten waar de AVG over gaat, zijn niet bijster enthousiast: ruim een kwart (26,5 procent) geeft aan dat ze er in hun dagelijks werk niet merkbaar iets mee te maken hebben, maar 20,5 procent is er dagelijks minimaal 15 minuten tijd aan kwijt. 5 procent besteedt zelfs meer dan een half uur per dag aan extra werkzaamheden die door de AVG worden veroorzaakt.

Uber

De dwangsom aan de Nationale Politie was één van de drie grootste Nederlandse zaken die resulteerde in een sanctie. Theodoor Gilissen Bankiers (TGB) werd eerder beboet met € 48.000,-; Uber later, met een torenhoge som. In 2016 kregen onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs. Onder de 57 miljoen getroffen Uber-gebruikers vielen 174.000 Nederlanders. Klantgegevens namen, telefoonnummers en e-mailadressen kwamen op straat te liggen. Omdat het datalek bij Uber plaatsvond, diende de partij binnen 72 uur na ontdekking de vondst te melden.

In een door de AP gepubliceerd boetebesluit, vertelt een woordvoerder dat Uber het lek niet meldde, omdat het bedrijf meende voldoende organisatorische en technische beveiligingsmaatregelen getroffen te hebben voor de voorkoming van herhaling. ‘Dit betekent echter niet dat er geen sprake was van mogelijke ongunstige gevolgen. Veel persoonsgegevens -waaronder namen, e-mailadressen en telefoonnummers - waren ten tijde van het lek immers onbeschermd (onversleuteld) en toegankelijk voor en in het bezit van onbevoegden’, reageert de AP in hetzelfde besluit. In november 2018 bevestigde de AP de opleg van een boete van € 600.000,- : de grootste Nederlandse sommering tot nu toe.

LEES OOK: YourSafetynet maakt beloftes AVG-appliance meer dan waar

1. De AP trekt ten strijde

De oorspronkelijke reden van het invoeren van de AVG, is om de AP daadkrachtiger te maken tegenover techgiganten als Facebook en Google. Partijen die een businessmodel hebben dat gebaseerd is op het vermarkten van de persoonsgegevens van hun gebruikers. En dat is nu juist wat niet meer mag. In ieder geval niet zonder toestemming. En wie geeft Facebook nu nog toestemming om zijn gegevens te verkopen. 2019 wordt zonder meer het jaar waarin de strijd tegen de Amerikaanse techgiganten wordt opgevoerd. Met waarschijnlijk grote boetes tot gevolg.

2. Een voortdurende juridische strijd

In sommige gevallen is het overduidelijk dat bedrijven een loopje nemen met de AVG. Zonder een verwerkingsregister, waarin je bijhoudt welke gegevens je van je klanten hebt en zonder een privacystatement op je website, is het solliciteren naar moeilijkheden. De echte vraag zit hem in het grijze gebied daartussen. De kans is groot dat er een jarenlange juridische strijd gaat volgen tussen de grotere bedrijven en de AP om uit te vogelen wat nu precies wel en wat nu niet mag. In de tussentijd kan de AP weinig doen. Wellicht tot opluchting van ons allemaal.

Regels gegevensopslag

Voor wat betreft het bewaren van persoonsgegevens geldt onder de AVG dat deze niet langer mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij verwerkt worden. Een concrete termijn geeft de AVG dus niet. De Belastingdienst hanteert een bewaarplicht van minstens zeven jaar en voor sommige onderwerpen zelfs van tien jaar. Voor het bewaren van privacyof persoonsgevoelige gevoelige informatie is de bewaarplicht anders geregeld. Voor alle privacy- of persoonsgevoelige informatie die niet noodzakelijk of relevant is voor de organisatie geldt min of meer een weggooiplicht. Er is dan ook beleid nodig dat formuleert waarom gegevens wel of niet langer relevant zijn. Normaliter is de maximale bewaartermijn voor niet relevante informatie 4 weken. Uiteraard moet deze informatie wel veilig worden vernietigd of weggegooid worden.

YourSafetynet biedt totaaloplossing

Op zoek naar de totaaloplossing op het gebied van AVG? YourSafetynet is een online softwareprogramma dat je stap voor stap begeleidt in het traject om je organisatie AVG-compliant te maken. Nadat je alle stappen van YourSafetynet hebt doorlopen, ben je in elk geval zeker dat jouw bedrijf voldoet aan de AVG.

YourSafetynet loodst je door de volgende stappen:
 

  • Hoofdstuk 2: Organisatorische maatregelen
  • Hoofdstuk 3: Preventieve maatregelen
  • Hoofdstuk 4: Technische maatregelen
  • Hoofdstuk 5: Bewustwordingsmaatregelen
  • Hoofdstuk 6: Overige maatregelen
afbeelding van Jordi Smit
Door: Jordi Smit

Jordi Smit | Redacteur

Bekijk alle artikelen van Jordi