25 mei 2018

Eén jaar geleden werd de Algemene Verordening Gegevensbescherming (AVG of GDPR) van toepassing. (Een wijdverbreid misverstand is dat de AVG toen pas ‘in werking trad’, maar dat was zij al in werking in het voorjaar van 2016; zie daarvoor artikel 99 AVG.) In de aanloop naar 25 mei 2018 schonk de media veel aandacht aan alle veranderingen die zouden komen en de torenhoge boetes die men zou kunnen ontvangen.

Nu is er qua inhoud van de regels eigenlijk niet zoveel veranderd. Het is nog steeds de bedoeling om mensen meer controle te geven over hoe anderen hun persoonsgegevens verwerken. Daarvoor gelden nog steeds dezelfde basisbeginselen als doelbindingtransparantie en juistheid (zie artikel 5 lid 1 AVG). Ook geldt nog steeds dat verwerkersovereenkomsten verplicht zijn tussen verwerkingsverantwoordelijke en verwerker. Verder gelden nog steeds de rechten van betrokkenen op inzage, correctie en verwijdering. Er kwamen slechts een paar nieuwe rechten bij, zoals het recht om vergeten te worden en het recht op overdraagbaarheid van de gegevens.

Het grote verschil werd veroorzaakt door de plicht voor ieder bedrijf en iedere organisatie om een privacy-administratie te gaan voeren (zie artikel 5 lid 2 AVG). De Autoriteit Persoonsgegevens (AP) noemt dit ‘privacybeleid’, maar het komt op hetzelfde neer. Ieder bedrijf en iedere organisatie moet kunnen aantonen dat zij voldoen aan de hiervoor genoemde basisbeginselen van persoonsgegevensbescherming. Daar kwam nog bij dat een algemene privacy-administratie niet volstaat, maar dat ook nog een zogenaamd ‘register voor verwerkingsactiviteiten‘ moet zijn opgetuigd (zie artikel 30 AVG). Bij de verwerking van bijzondere (of gevoelige) persoonsgegevens kan soms nog een gegevensbeschermingsbeleid vereist zijn (zie artikel 24 lid 2 AVG).

 

Implementatie van de AVG

In het afgelopen jaar heeft NORD Advocaten veel bedrijven en organisaties op weg mogen helpen naar privacy compliance. Dit zijn bedrijven die het als unique selling point beschouwen of organisaties die gewoon willen voldoen aan de regels. Alle begin is moeilijk, maar als de privacy-administratie eenmaal staat is het een kwestie van bijhouden. De grootste uitdaging lijkt te zitten in het overzicht krijgen van alle verwerkingsactiviteiten die plaatsvinden. Deze moeten namelijk geregistreerd worden in het ‘register van verwerkingsactiviteiten‘ (zie artikel 30 AVG).

Eén van de meest opvallende zaken is dat er in de markt (en ook in de juridische literatuur) nog veel onduidelijkheid bestaat over kernbegrippen die al sinds 1995 gelden. Zo is het een papieren werkelijkheid dat er altijd een scherp onderscheid te maken is tussen enerzijds de verwerkingsverantwoordelijke en anderzijds de verwerker. Soms sloten partijen onverplicht verwerkersovereenkomsten af, terwijl er geen sprake was van een verwerker. Ook is de praktijk weerbarstiger dan de regels. Zo spreekt de AVG simpelweg van een relatie tussen verantwoordelijke en verwerker. In de werkelijkheid kan het een zeer lange keten zijn van meerdere verantwoordelijken en verwerkers en sub-verwerkers.

De AVG verplicht het nemen van ‘passende technische en organisatorische maatregelen’ (zie artikel 32 AVG). Hiervoor sluit men vaak aan bij reeds bestaande normen uit de praktijk. Voor een groot deel kan dit worden ingevuld met het implementeren van bijvoorbeeld het systeem van ISO 27001 of NEN 7510.

 

Datalekken

Soms vindt er ondanks de beveiligingsmaatregelen toch een inbreuk op de beveiliging plaats. Dan is er sprake van een zogenoemd ‘datalek‘. Onder de AVG moet men datalekken melden aan de AP wanneer het lek ernstig is (zie artikel 33 AVG). Bij datalekken met ernstige gevolgen voor de betrokkenen moet men deze ook aan de betrokkenen zelf melden (artikel 34 AVG).

In totaal ontving de AP bijna 21.000 meldingen in 2018. Dat is bijna het dubbele van 2017. De te late melding die veel aandacht kreeg betrof het datalek van Über. Zij kreeg een boete van 600.000 euro voor het te laat melden van een datalek. In feite ging dat niet eens over de AVG, maar nog over haar voorloper de Wet bescherming persoonsgegevens (Wbp).

De zorg en de publieke sector en de financiële sector zijn de grootste zorgenkindjes van de toezichthouder en zij vormen dan ook steevast de top 3 van sectoren waarin de meeste datalekken voorkomen. Een verschil met de oude meldplicht datalekken uit de Wbp is dat tegenwoordig ook de niet-gemelde datalekken moeten worden geregistreerd. De AP constateerde dat slechts 60% van de onderzochte registers voldoende compleet was. Zo moeten de feiten, de gevolgen én de genomen maatregelen opgenomen worden.

 

Handhaving en boetes door de Autoriteit Persoonsgegevens

De AP is de nieuwe regels van de AVG ook actief gaan handhaven. Allereerst heeft zij ruim 400 overheidsorganisaties gecontroleerd op de aanmelding van hun verplichte Functionaris voor de gegevensbescherming (FG), welk onderzoek zij in september 2018 afrondde. In oktober 2018 rondde de AP haar controle van ziekenhuizen en zorgverzekeraars af op de aanwezigheid van FG’s. Daarnaast heeft de AP ook het privacybeleid bij zorginstellingen en politieke partijen gecontroleerd. Ook banken en verzekeraars werden gecheckt.

Maar ook private organisaties en bedrijven kunnen niet op hun lauweren rusten. De AP startte in juli 2018 met een willekeurige steekproef van dertig grote organisaties uit tien private sectoren. Zo werd onder meer gecontroleerd op de aanwezigheid van het verplichte ‘register van verwerkingsactiviteiten‘ (ook wel: verwerkingenregister). De AP controleert regelmatig sinds de invoering van de AVG of organisaties vereisten uit de privacywetgeving naleven. Voor het MKB lijkt het nog een beetje een ver-van-mijn-bed-show. De kans is immers nog steeds klein dat de AP bij hen op de stoep zal staan.

Wel heeft de AP haar boetebeleid aangepast in 2019. De ernst, omvang en duur van de overtreding van de AVG bepalen mede de hoogte van de boete. Maar ook speelt mee over welk type overtreding het gaat en of er sprake is van opzet of herhaling. De AP deelt de boetes in categorieën in met bijbehorende richtbedragen (‘boetebandbreedtes’).

 

En nu?

Met de actieve handhaving van de AP is niets doen nog steeds geen optie. Met het voortschrijdend inzicht van één jaar AVG kan privacy compliance inmiddels wel sneller bereikt worden. Neem contact op met NORD om daadwerkelijk stappen te zetten in de goede richting.

Privacyverklaring niet verplicht onder de AVG
Geplaatst op 25 mei 2019 door Koen Konings