Op zaterdag 25 mei 2019 vierden we een bijzondere verjaardag. Van wie? Nee; niet van wie, maar van wat. Heb je erbij stilgestaan dat de privacywet, de Algemene Verordening Gegevensbescherming (AVG), op 25 mei precies een jaar geleden werd ingevoerd? De AVG bepaalt welke privacyregels van kracht zijn en hoe die binnen de EU nageleefd moeten worden. Best belangrijk dus. Toch zijn er een jaar na invoering nog veel vragen over de privacywet. Wat houdt ‘ie nou precies in? Is er het afgelopen jaar streng naar gehandeld? En hoe ziet de handhaving er in de toekomst uit? Allemaal uitstekende vragen.

De AVG

Van overheidsinstanties tot bedrijven, zorg- en onderwijsinstellingen; alle organisaties moeten zich aan de AVG houden. Het is niet te doen om die in een paar zinnen samen te vatten; daar is de wet te omvangrijk voor. Daarom verwijs ik je voor het gemak naar de AVG-richtlijnen. Wanneer je onze 10 handige AVG-tips leest, krijg je ook een beter beeld van de AVG. Het uiteindelijke doel van de nieuwe privacywetgeving is eenvoudiger uit te leggen. De AVG schrijft voor dat mensen meer zeggenschap over hun eigen persoonsgegevens moeten hebben. Die gegevens bestaan uit alle privé-informatie die je maar kunt bedenken, zoals namen, adressen, telefoonnummers, religievoorkeuren en informatie over de gezondheid van mensen. Het gaat dus om heel persoonlijke en kwetsbare gegevens. De AVG verplicht organisaties om voorzichtiger dan ooit met deze informatie om te gaan. Bovendien heb je dankzij de wet meer grip op de verwerking van je eigen gegevens.

Toezicht

Bij de invoering van een nieuwe wet is het natuurlijk belangrijk dat die goed wordt nageleefd. Daarvoor is een onafhankelijke toezichthouder aangesteld. In het geval van de AVG ziet de Autoriteit Persoonsgegevens (AP) erop toe dat de privacywet wordt nagekomen. Daar kan de AP bij worden geholpen door de Functionaris Gegevensbescherming (FG). Wanneer een organisatie veel persoonlijke gegevens verwerkt, is die organisatie verplicht om zo’n FG aan te stellen. Die houdt dan intern toezicht op de toepassing en naleving van de AVG. Wanneer de FG een overtreding constateert, moet die aan de AP worden gemeld. De AP is namelijk de enige partij die handelend op mag treden; door boetes uit te delen of dwangsommen op te leggen.

Overtreding

De bedragen van die boetes en dwangsommen liggen vrij hoog. Zo kan de hoogte van een dwangsom oplopen tot 150.000 euro per maand, zoals het UWV heeft gemerkt. Die dwangsom wordt voornamelijk gebruikt als waarschuwing; als middel om verandering af te dwingen. Wanneer die daadwerkelijk plaatsvindt, wordt de dwangsom ingetrokken. Bij ernstige overtredingen, waarbij voorlichting en waarschuwingen worden genegeerd, kan de AP boetes opleggen. Daar zijn de bedragen nog hoger van. Het maximum boetebedrag loopt zelfs tegen de 20 miljoen euro aan. De AP is overigens wel verplicht om alle overtredingen apart te beoordelen. Op basis van de aard, ernst en duur van de overtreding wordt dan een passende boete vastgesteld.

De voordelen

Het voldoen aan alle AVG-richtlijnen kost veel tijd, geld en moeite. Dat betekent echter niet dat de AVG geen voordelen met zich meebrengt. Want dat is namelijk wel het geval. Ten eerste kan een goed privacybeleid zorgen voor trouwere klanten. Als mensen zien dat een organisatie veel heeft geïnvesteerd in de bescherming van persoonsgegevens, stijgt het vertrouwen in die organisatie. Mensen nemen hun privacy bijzonder serieus en dat wordt bevestigd door de statistieken. Na de invoering zijn er ruim 11.000 klachten over schending van privacy bij de AP binnengekomen.
Het tweede voordeel is vooral weggelegd voor bedrijven met internationale vestigingen. Dat komt omdat de AVG voorziet in één leidende toezichthouder per organisatie. Voorheen hadden vestigingen te maken met verschillende nationale toezichthouders. Dat zorgde voor veel onduidelijkheid, die door de AVG is opgelost.

Evaluatie

Op het eerste gezicht leek de AVG mij helder, consequent en toch ook wel streng. In de praktijk is dat laatste enorm meegevallen. Zo zijn er in het eerste jaar in elk geval geen boetes uitgedeeld. Of dat betekent dat alle organisaties zich netjes aan de regels hebben gehouden? Echt niet! Maar omdat de AVG nog in de kinderschoenen staat, heeft de AP mild gereageerd op overtredingen. Dat was ook de bedoeling, volgens AP-voorzitter Aleid Wolfsen. Advies geven was in het eerste levensjaar belangrijker dan handhaven. Toch zijn er situaties geweest waar de AP liever strenger had willen optreden, maar het simpelweg niet kon. Dat kwam door een gigantisch tekort aan werknemers bij de AVG-toezichthouder. Zo heeft de AP naar niet meer dan 300 datalekmeldingen daadwerkelijk onderzoek kunnen doen, terwijl er in het afgelopen jaar 20.000 meldingen over datalekkage zijn binnengekomen.

[avantage_post_shadowblock selected_post_id=”4100″ post_title=”Over gegevensbescherming en melding van een datalek” post_excerpt=”Op 25 mei 2018 werd in Nederland de Algemene Verordening Gegevensbescherming (AVG) definitief van kracht. Daarin is privacy het toverwoord. Wanneer die door een datalek in het geding komt, ben je als organisatie verplicht om dat datalek te melden. We leggen graag uit ‘hoe en wat’ je zelf (iets) kunt doen.”]

Verwachtingen voor 2019

Dat de AP vooralsnog terughoudend heeft gehandeld, vindt Sander Dekker – minister voor Rechtsbescherming – niet erg. Hij vindt het juist goed dat de nadruk in het afgelopen jaar op bewustwording van de wet lag. In het komende jaar wordt daaraan ook nog veel aandacht besteed, voornamelijk door middel van voorlichtingen. Maar daar blijft het niet bij. Tegelijk worden in 2019 de eerste strenge maatregelen met betrekking tot de naleving van de AVG verwacht.

'De inhoud blijft hetzelfde,
maar de uitvoering wordt anders.'

In het tweede jaar van de AVG wordt meer onderzoek gedaan naar risico-organisaties. Daarmee worden organisaties bedoeld die veel gevoelige informatie bevatten en veel persoonsgegevens verwerken. Denk aan organisaties in de gezondheidszorg, financiële dienstverleners en onderwijsinstellingen. Daarbij zal opzettelijke nalatigheid en laksheid sneller en zwaarder worden bestraft, ongeacht het type organisatie. Zorg er dus voor dat je jouw privacyzaken goed op orde hebt. Je weet maar nooit wanneer de AP bij je aanklopt!

 

Het is belangrijk dat de persoonsgegevensverwerking binnen jouw organisatie goed is geregeld. Bij Avantage hebben we daar alles aan gedaan, waardoor we met trots kunnen zeggen dat we AVG-compliant zijn. Heb jij vragen over de privacywetgeving? Laat het me weten, misschien kan ik je verder helpen!

Jasper Glaser

"Zonder bal kun je niet scoren."

x

JOBS 14

JOBS 14