Één jaar AVG, hoe staat het ermee?

Handhaving in het eerste jaar van de AVG.

De Algemene Verordening Gegevensbescherming (AVG) is nu meer dan een jaar in werking. Vorig jaar werd nog gewaarschuwd voor hoge boetes, die bedrijven zouden riskeren als zij niet voor 28 mei 2018 hun zaken in orde hadden.

Zoals al door mij was voorspeld wordt de soep echter niet zo heet gegeten als die wordt opgediend. De Autoriteit Persoonsgegevens heeft nog geen boetes uitgedeeld. In België werd eind mei wel al (voorzichtig) een boete van € 2.000,- opgelegd. De Franse Autoriteit pakt het iets voortvarender aan, die legde Google een boete op van 50 miljoen.

Ondanks het gebrek aan boetes ligt handhaving echter niet stil. Bedrijven doen er verkeerd aan als zij denken dat de AVG een dode letter is geworden. Het lijkt erop dat de AP het eerste jaar vooral heeft gebruikt ter voorbereiden en dat handhaving in 2019 verder opgepakt zal worden.

Handhaving van de AVG in het eerste jaar

Hoewel er dus geen boetes zijn uitgedeeld kan niet bepaald worden gezegd dat de Autoriteit Persoonsgegevens heeft stilgezeten het afgelopen jaar.

Zo heeft zij gecontroleerd of een functionaris gegevensbescherming aangesteld was bij onder meer de overheid, banken en de medische sector. In geen van de sectoren bleken alle organisaties aan hun wettelijke verplichtingen te hebben voldaan. Inmiddels hebben vrijwel alle gecontroleerde organisaties alsnog een functionaris gegevensbescherming aangemeld.

Een controle is een van de lichtste handhavingsmechanismen waarover de Autoriteit Persoonsgegevens beschikt. De meeste organisaties zullen aanbevelingen uit zo’n controle meteen opvolgen, waardoor een einde aan de overtreding komt.

Controles hebben vooral een sterk imago effect. De Autoriteit Persoonsgegevens publiceert de onderzoeksresultaten namelijk, waardoor organisaties grote publicitaire druk voelen om hun beleid aan te passen. Bijvoorbeeld in maart 2019 laat de Kamer van Koophandel weten dat zij geen adressenbestanden meer zal verkopen, na kritiek van de Autoriteit Persoonsgegevens.

Een zwaarder middel is het verbieden van bepaalde verwerkingen. De autoriteit Persoonsgegevens heeft dit middel in 2019 opgelegd aan de Belastingdienst.

Als een organisatie de aanwijzingen van de Autoriteit Persoonsgegevens niet vrijwillig opvolgt dan kan de AP een last onder dwangsom opleggen. In dat geval is de organisatie een dwangsom verschuldigd als niet binnen een bepaalde tijd wordt voldaan aan een aanwijzing. Een last onder dwangsom wordt gezien als een voorwaardelijke boete en leidt met name tot grote publicitaire schade. Onder meer de politie en het UWV kregen een last opgelegd.

De boetes onder de AVG

De AVG schept grotendeels dezelfde verplichtingen als de oude Wet bescherming persoonsgegevens. De echte vernieuwing van de AVG zat hem in de verdergaande handhavingsmogelijkheden, waaronder dus de beruchte boetes van maximaal 20 miljoen.

Boetes worden door de Autoriteit Persoonsgegevens echter gezien als een laatste redmiddel. Dat middel wordt voornamelijk gebruikt bij organisaties die echt nalatig zijn geweest of zelfs opzettelijk de wet overtreden. Wie een technische overtreding maakt kan eerder rekenen op controles, verboden en eventueel een last onder dwangsom.

Dat blijkt ook uit de boetebeleidsregels die in maart 2019 zijn gepubliceerd. Het uitdelen van een boete en de hoogte daarvan wordt bepaald aan de hand van factoren zoals: de aard, ernst en de duur van de overtreding, de opzettelijke aard, het type persoonsgegevens etc.

De Autoriteit Persoonsgegevens is dus terughoudend met het uitdelen van boetes. Voorzitter Aleid Wolfsen verklaart wel aan Tweakers dat de eerste boetes in Nederland eraan komen. Verschillende grote onderzoeken zouden zich in een afrondende fase bevinden.

Handhaving Algemene Verordening Gegevensbescherming in 2019?

Het vorig jaar is gebleken dat de AP gelaagd handhaaft. Eerst worden controles uitgevoerd, die controles zijn vaak sectorspecifiek en gericht op een specifiek onderwerp. Dergelijke controles dienen voornamelijk om organisaties en personen meer bewust te maken van de AVG en specifieke problemen waartegen sectoren aanlopen. Mochten controles niet tot verbeteringen leiden, dan kunnen dwangsommen en boetes opgelegd worden.

De Autoriteit Persoonsgegevens zegt zelf in de toekomst strenger te zullen handhaven. Zij gunt organisaties de tijd om hun beleid op orde te maken, maar dat geduld raakt op enig moment op. De eerste boetes zullen waarschijnlijk al snel worden uitgedeeld.

Tegelijkertijd worden de betrokkenen zich steeds meer bewust van hun privacy. Wie zijn zaken niet op orde heeft kan dus de nodige klachten en de daarbij behorende negatieve publiciteit verwachten. Inmiddels zijn al 20.000 klachten ingediend bij de Autoriteit Persoonsgegevens. Iedere klacht wordt door de Autoriteit Persoonsgegevens onderzocht.

2019-06-08T15:01:31+00:00

About the Author:

Leave A Comment