25 mei 2018 werd voor veel organisaties in Nederland gezien als D-date. Dan zou de AVG in werking treden en zouden deze organisaties moeten voldoen aan de AVG. In de maanden april en mei 2018 werd door veel organisaties nog even een eindsprint ingezet om te voorkomen dat men geconfronteerd zou worden met een boete. Toen kwamen ook de klachten dat men te weinig tijd had om aan de AVG te voldoen. Stiekem vergat men dat de AVG al op 25 mei 2016 in werking was getreden, maar de Autoriteit Persoonsgegevens (hierna: AP) pas twee jaar later toezicht zou gaan houden.
Nu zijn we een jaar verder. Er gaan geluiden op bij organisaties dat de soep toch niet zo heet wordt gegeten en dat de AVG-stress een storm in een glas water leek. Maar is dit ook zo? Wat heeft een jaar AVG ons nu gebracht. Ik zal in deze blog hier kort bij stilstaan.
Wat is de AVG precies?
De Wet Bescherming Persoonsgegevens is met ingang van 25 mei 2018 vervangen door de AVG. Binnen Europa geldt nu voor alle lidstaten eenzelfde privacyverordening (de General Data Protection Regulation). Op 13 september 2017 heb ik al aandacht besteed aan de AVG en wat de als organisatie moest worden gedaan om aan deze wetgeving te voldoen. Wilt u een en ander nog eens nalezen, lees dan mijn blog.
De reden dat organisaties in actie zijn gekomen, is natuurlijk de handhavingsbevoegdheid van de AP. Vanaf 25 mei 2018 kan de AP serieuze boetes opleggen. De boetes kunnen worden onderverdeeld in twee groepen:
- de verplichtingen voortvloeiende uit de AVG zijn niet of niet voldoende nageleefd à maximaal 10 miljoen of 2% van de totale wereldwijde jaaromzet;
- De beginselen van de AVG zijn overtreden à maximaal 20 miljoen of 4% van de totale wereldwijde jaaromzet.
Bij de tweede groep moet gedacht worden aan het onrechtmatig verwerken van bijzondere persoonsgegevens. Denk hierbij aan het verwerken van medische gegevens, zonder dat hier een grondslag voor bestaat. Wanneer we kritisch naar verschillende organisaties kijken en de vraag stellen of er bijvoorbeeld medische informatie van werknemers wordt verwerkt, verwacht ik dat veel organisaties moeten bekennen onrechtmatig bijzondere persoonsgegevens te werken. Realiseer u dat u hiermee gelijk in de tweede groep valt… De zwaardere boetecategorie is dan ook sneller aan de orde dan wellicht gedacht.
De AVG een storm in een glas water?
Aangezien binnen Nederland het afgelopen jaar nog niet veel boetes zijn opgelegd, begrijp ik dat bij sommige organisaties de indruk kan zijn ontstaan, dat het wel los zal lopen met de AVG en dat de stress rondom de AVG inderdaad een storm in een glas water is gebleken. Echter, deze opvatting is niet juist. De AVG kan wel degelijk vergaande gevolgen hebben voor individuele organisaties.
Er zijnr wel degelijk serieuze boetes opgelegd. Binnen Europa zijn er ongeveer 90 boetes opgelegd (ik laat hierbij de lasten onder dwangsom buiten beschouwing). De hoogste boete was voor Google. De toezichthouder in Frankrijk heeft een boete van € 50 miljoen euro opgelegd, omdat Google te veel informatie verzamelde zonder toestemming en de instellingen onnodig moeilijk maakte voor een betrokkene om de privacy-instellingen te wijzigen. Verder werd er in Nederland een boete van € 600.000 opgelegd.
Het gaat daarnaast natuurlijk niet alleen om de boetes die zijn opgelegd. De AP heeft het afgelopen jaar veel werk verzet en al de nodige acties uitgezet. De AP heeft de volgende acties in de publiciteit gebracht:
- Steekproefsgewijs onderzoek m.b.t. de verplichte Functionaris Gegevensbescherming;
- Steekproeven naar het verwerkingsregister;
- Onderzoek naar de datalekregisters bij diverse overheidsorganen;
- Last onder dwangsom bij een bank i.v.m. het niet nakomen van het recht van inzage;
- Onderzoek naar activiteiten van de KvK (met name gelet op verkoop van adressenbestanden);
- Opgelegde last onder dwangsom Nationale Politie;
- De Belastingdienst moet de werkprocessen aangaande de btw-nummers aanpassen;
- Boete van 600.000 euro aan Uber B.V. omdat ze niet binnen 72 uur na een datalek een melding hebben gedaan;
- Diverse onderzoeken n.a.v. klachten c.q. meldingen bij de Autoriteit.
Duidelijk blijkt dat de AP wel degelijk bezig is met de handhaving van de AVG. Het is natuurlijk begrijpelijk dat de AP zich nog niet heeft beziggehouden met de kleine organisaties. Immers, wanneer gekeken wordt naar de capaciteit van de AP, is het logisch dat men moet gaan prioriteren. Dit maakt echter niet dat kleine organisaties achterover kunnen leunen. Ook kleine organisaties kunnen als gevolg van klachten/tips van betrokkenen ineens onderwerp van een onderzoek worden. In mijn praktijk ben ik dit het afgelopen jaar ook zeker al tegengekomen. Anderzijds kan het natuurlijk ook zo zijn dat door de groeiende economie de organisatie enorm is gegroeid. Als gevolg hiervan kan het ook zijn dat de AP een organisatie interessant gaat vinden.
Kortom, ik ben van oordeel dat de AVG zeker geen storm in een glas water is. Duidelijk is dat de AP het afgelopen jaar al druk bezig is geweest met de handhaving. Er werd al druk onderzocht of organisaties de AVG adequaat hebben geïmplementeerd en toegepast. Ondanks dat de focus nu ligt op de grotere organisaties, maakt het niet dat de kleinere organisaties niet moeten waarborgen dat hun organisatie blijft voldoen aan de AVG. Immers, als gevolg van klachten of tips kunnen zij net zo goed onderwerp van onderzoeken van de AP worden. Zorg dan ook dat u regelmatig evalueert of de ingezette maatregelen om te voldoen aan de AVG nog steeds actueel zijn en of uw organisatie nog steeds volledig voldoet aan de AVG. Wenst u een keer te sparren of de getroffen maatregelen afdoende zijn, neem dan gerust contact op met één van onze privacyspecialisten.