De AVG bestaat 5 jaar, hoe staat het ervoor?

De AVG, waar denk je dan aan? De typische Hollandse maaltijd met aardappels, vlees en groente? Of toch niet? Wij hopen dat je denkt aan de Algemene verordening gegevensbescherming (AVG). De AVG trad op 25 mei 2018 in werking en viert daarmee dit jaar haar eerste lustrum! Een goed moment om stil te staan bij wat de AVG sinds haar invoering teweeg heeft gebracht voor bedrijven en organisaties, maar ook voor burgers, op het gebied van privacy en gegevensbescherming. We nemen je in deze blog mee naar het ontstaan van de AVG, wat het voor bovengenoemde partijen heeft betekent en hoe het er nu voor staat met betrekking tot de gegevensbescherming van burgers.

De komst van de AVG

De AVG is, als opvolger van de Wet bescherming persoonsgegevens (Wbp), ontworpen om de privacy van EU-burgers te beschermen en de wijze waarop bedrijven en organisaties met onze persoonsgegevens omgaan te reguleren. De Wbp werd in 2001 ingevoerd en was weer gebaseerd op de Europese richtlijn voor gegevensbescherming uit 1995. Deze richtlijn vormde op haar beurt de basis voor de meeste privacywetten binnen de Europese Unie (EU). De Wbp was echter niet specifiek genoeg, liep achter op de moderne ontwikkelingen en kon door de autoriteiten niet altijd goed worden gehandhaafd. Met de komst van de AVG is geprobeerd deze problematiek te tackelen, met het doel om een betere bescherming van de EU-burger te realiseren in het huidige digitale tijdperk. Gegevensoverdracht is immers de normaalste zaak van onze dagelijkse bezigheden geworden. Maar hoe heeft dit tot nu toe uitgepakt? Is de burger inderdaad beter beschermd? En kan de AVG wel goed gehandhaafd worden ten opzichte van de Wbp?

De AVG versus de Wbp

In een samenleving die steeds meer digitaal georiënteerd is (waarmee gedoeld wordt op een maatschappij waarin digitale technologieën en innovatie een centrale rol spelen), is het belangrijk dat burgers zich bewust blijven van de persoonlijke informatie die ze delen en hoe deze wordt gebruikt door externen. Ten opzichte van haar voorganger, de Wbp, is de AVG daarom een stuk strenger ingestoken en legt het verplichtingen op aan bedrijven en organisaties met betrekking tot gegevensverwerking. De AVG is nodig om bedrijven en organisaties te instrueren om op een bewuste manier persoonsgegevens te verwerken, zodat burgers – die zich over het algemeen niet dagelijks met privacy en gegevensbescherming bezighouden – erop kunnen vertrouwen dat er op een juiste en verantwoorde manier met hun persoonsgegevens wordt omgegaan.

Meer grip voor de burger
Ook de aandacht rondom de AVG en de mogelijkheden die vanuit de AVG aan burgers worden geboden, zoals het indienen van verzoeken op grond van de rechten van betrokkenen, de burgers meer inzicht verschaffen. Daarnaast biedt het burgers middelen om bedrijven en organisaties hun persoonsgegevens te laten verwijderen, aan te passen of te delen. Oftewel, de burger heeft de mogelijkheid gekregen om zelf grip uit te oefenen op haar eigen persoonsgegevens.

Meer transparantie 
Daarnaast wordt vereist dat bedrijven en organisaties transparant zijn over de manier waarop ze persoonsgegevens verwerken. In de Wbp werd gesproken over ‘in overeenstemming met de wet’ en ‘behoorlijk en zorgvuldig’. Door in de AVG het begrip ‘zorgvuldig’ te vervangen voor ‘transparant’ wordt een koppeling gemaakt met een meer concrete informatieplicht: een verwerkingsverantwoordelijke moet de wijze waarop persoonsgegevens worden verwerkt, kunnen verantwoorden.

Meer aandacht voor handhaving
Vanuit het kabinet worden tevens hogere budgetten uitgekeerd vanwege een noodzakelijke uitbreiding van de Autoriteit Persoonsgegevens om burgers te kunnen blijven beschermen. Deze financiële ruimte heeft onder andere geleid tot een verbetering van het handhavingsmechanisme. Er is sinds de invoering van de AVG meer aandacht voor handhaving en er kunnen hogere boetes worden opgelegd voor inbreuken op de wet. Deze boetes kunnen oplopen tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf of organisatie. Onder de Wbp was dit maximaal 820.000 euro of 10% van de netto-omzet.

Ik zie, ik zie, wat jij niet ziet

De Autoriteit Persoonsgegevens (AP), het toezichthoudende orgaan in Nederland, is een belangrijke schakel in de naleving van de AVG en dus de bescherming van persoonsgegevens. De AP heeft in de afgelopen vijf jaar verschillende vraagstukken voorgeschoteld gekregen door zowel eigen signaleringen bij bedrijven en organisaties, alsmede door meldingen die zijn gedaan door betrokkenen.

Een aantal onderwerpen waar de AP een uitspraak over heeft gedaan, zijn:

• De rechtmatigheid van het gebruik van het Burger Service Nummer (BSN): in meerdere zaken heeft de AP uitspraak gedaan over het rechtmatig gebruik van het BSN door bedrijven en organisaties. Hierin werd benadrukt dat het BSN enkel mag worden verwerkt als daar een wettelijke verplichting voor geldt of als er een andere wettelijke grondslag is.
• Cookies en online tracking: de AP heeft uitspraken gedaan en richtlijnen uitgevaardigd om bedrijven en organisaties te begeleiden bij het naleven van privacywetgeving met betrekking tot cookies en online tracking. De transparantie over het gebruik van cookies, de noodzaak van toestemming voor niet-essentiële cookies en tracking, het bieden van eenvoudige cookie-instellingen en het respecteren van privacyrechten bij het verzamelen van persoonsgegevens werden hierin uitgelicht.

Boetes
De AP publiceert voortdurend nieuwe uitspraken en richtlijnen als reactie op veranderende technologieën en/of privacy kwesties. Het is echter niet alleen bij verduidelijking van de wet en/of richtlijnen gebleven, maar er zijn ook boetes opgelegd. Zo kreeg Uber in 2018 een boete opgelegd van €600.000,- voor het niet melden van een datalek, waarbij persoonsgegevens van 57 miljoen gebruikers waren gestolen . Aan Booking.com werd in 2020 een boete van €475.000,- opgelegd voor het te laat melden van een datalek. De wettelijke meldingstermijn van 72 uur was hierbij overschreden.

Datalekken
De meeste datalekmeldingen kwamen in 2021 uit de sector gezondheid en welzijn (37%), gevolgd door het openbaar bestuur (23%) en de financiële dienstverlening (11%). De sector gezondheid en welzijn is gevoelig voor datalekken vanwege de gevoelige aard van de informatie die in deze sector wordt verwerkt en vanwege de complexiteit van de systemen en processen.

Klachten
In 2020 gingen de meeste klachten (43%) over bedrijven en organisaties binnen de zakelijke dienstverlening. Dit komt omdat dit een erg brede sector is. Onder andere horeca, energiebedrijven, juridische dienstverlening en detailhandel vallen in deze sector. De meeste klachten gingen over het uitoefenen van de privacywetten (37%). Voornamelijk wanneer betrokkenen problemen ondervinden bij het verkrijgen van toegang tot hun persoonsgegevens of wanneer ze foutieve gegevens willen laten corrigeren of verwijderen.

Om een totaalbeeld te krijgen van het aantal gemelde datalekken en klachten, en het aantal uitgedeelde boetes bij de AP is hieronder een overzicht toegevoegd.

Wat hebben we er tot nu toe van geleerd?

Enerzijds lijkt het er over het algemeen op dat bedrijven en organisaties zich steeds bewuster zijn van het belang van privacywetgeving en de verplichtingen die daaruit voortvloeien, maar ook dat burgers steeds vaker stil staan bij het belang van hun persoonsgegevens, het recht op privacy en de controle over hun eigen gegevens (zo blijkt uit de genoemde cijfers over datalekken, klachten en boetes).

Ondanks dat er sprake is van vernieuwde privacywetgeving, waar meer transparantie en strengere handhaving uit is voortgevloeid, voldoen veel organisaties en bedrijven in de praktijk nog steeds niet (volledig) aan de AVG. De AVG is een uitgebreide wet met complexe bepalingen die breed geïnterpreteerd kunnen worden. Het kan voor bedrijven en organisaties daarom lastig zijn om de wetgeving volledig te begrijpen en correct toe te passen. Ook wordt er nog regelmatig gebruik gemaakt van bestaande systemen en processen binnen bedrijven en organisaties, waarvan het technisch gezien uitdagend en kostbaar kan zijn om aanpassingen door te voeren.

Is jouw organisatie (nog steeds) compliant aan de AVG?

De AVG heeft, zoals je hebt kunnen lezen, de afgelopen jaren behoorlijk wat teweeg gebracht. Het voldoen en nastreven van de beginselen van de AVG voor organisaties is niet een eenmalige exercitie maar een continu proces. Jouw organisatie moet niet alleen compliant zijn, maar ook blijven. Het is belangrijk om bewust te blijven van het feit dat de AVG een fundamenteel recht van burgers beschermt en dat organisaties bedrijven proactief stappen dienen te ondernemen om dit te kunnen borgen. Stel jezelf daarom na vijf jaar AVG eens de vragen:

• Wat heeft mijn organisatie gedaan op het gebied van awareness rondom privacy en wat voor een effect heeft dat gehad?
• Heb ik nog steeds hetzelfde privacybeleid of verwerkingsregister als vijf jaar geleden? En past dit nog wel bij onze organisatie of zijn er ondertussen processen veranderd?
• Is er de afgelopen vijf jaar een datalek gemeld? Zo ja, wat was de reden hiervoor?

Cuccibu ondersteunt graag bij het beantwoorden van deze vragen en het verkrijgen van inzicht op het gebied van privacy. We kijken samen waar jouw organisatie naar toe wil groeien en helpen dit te realiseren. Ook kunnen we hulp bieden bij het opstellen van een AVG volwassenheidsmeting of een risico analyse op de effecten van een nieuwe verwerking van persoonsgegevens (een DPIA). Ook kan hierbij worden gedacht aan het opstellen en invoeren van een privacybeleid. Neem vrijblijvend contact op en we vertellen je graag meer over de mogelijkheden.

Reduce Risk, Create Value!

Contact

Bron: Artikel 13 AVG, Autoriteit Persoonsgegevens: nieuwsartikel ‘Groei AP noodzakelijk voor bescherming burgers in digitaliserend Nederland, jaarrapportage meldplicht datalekken 2021, klachtenrapportage AP 2020, feiten en cijfers over de AP.