Eén jaar AVG, waar staan we?
24 mei 2019Iedereen weet inmiddels wel dat op 25 mei 2018 de Algemene verordening gegevensbescherming (‘AVG’) van toepassing is geworden. Hoewel de Europese wetgever organisaties twee jaar de tijd heeft gegeven om zich op de AVG voor te bereiden (de AVG was immers al sinds 25 mei 2016 definitief), sloeg op 25 mei 2018 toch de paniek toe. De kranten stond vol met de hoge boetes die konden worden opgelegd, bedrijven stuurden massaal toestemmingsverzoeken en privacyverklaringen toe, brancheorganisaties riepen om nader uitstel en de gekste verhalen staken de kop op. Hoe staan we er na alle hectiek één jaar later voor?
Beeldvorming
Uiteindelijk lijkt het allemaal wel mee te zijn gevallen. Nog steeds voldoet een groot deel van de organisaties weliswaar niet (voldoende) aan de AVG, maar de massale boetes en uitvoeringsproblemen zijn vooralsnog uitgebleven. Daarbij viel op dat de paniek veelal werd gevoed door slecht geïnformeerde media en brancheorganisaties en dat ook de toezichthouder, de Autoriteit Persoonsgegevens (‘AP’), nog niet op sterkte was.
Verantwoording
Een belangrijke wijziging van de AVG ten opzichte van de tot dat moment geldende Wet bescherming persoonsgegevens is de toegenomen verantwoordingsplicht. Organisaties moeten onder de AVG onder meer kunnen aantonen welke persoonsgegevens worden verwerkt, waarvoor, hoe lang en op welke wijze zij de personen van wie zij persoonsgegevens verwerken (‘betrokkenen’) informeren. Ook moet verkregen toestemming kunnen worden aangetoond. Dit betekent onder andere dat organisaties een verwerkingsregister moeten aanleggen, een privacyverklaring moeten verspreiden en een gedegen administratie van verkregen toestemming moeten voeren. Een jaar na dato blijkt dat veel organisaties deze verantwoordingsdocumentatie nog niet of onvoldoende op orde hebben.
Dat komt onder meer omdat de AP hierop nog niet grootschalig heeft gecontroleerd. De AP heeft bij een aantal organisaties wel onderzoek gedaan naar het hebben van een verwerkingsregister, verwerkersovereenkomsten en een privacybeleid, maar strikte handhaving is vooralsnog uitgebleven. Daar lijkt overigens verandering in te gaan komen nu de AP heeft aangegeven in 2019 harder te gaan optreden en ook toezichthouders in het buitenland hun horizon ook naar deze (verantwoordings)plicht van organisaties hebben verbreed.
Onduidelijkheid
Afgezien van bepaalde wilde verhalen in de media, is gebleken dat er ook nog veel onduidelijk is over de toepassing van de AVG. Bijvoorbeeld over wat ‘grootschalige’ verwerking van persoonsgegevens inhoudt (wat extra verplichtingen met zich meebrengt), het gebruik van wifi-tracking, de reikwijdte van de AVG en het onderscheid tussen (verwerkings)verantwoordelijke en verwerker. En totdat de Europese wetgever, de (gezamenlijke) toezichthouders of de rechters hierover geen uitsluitsel geven, zal die onduidelijkheid nog wel even blijven bestaan. Het voordeel van de AVG is wel dat deze in alle lidstaten van de EU hetzelfde is en er dus op grote schaal rechtspraak komt die breed kan worden toegepast.
Handhaving
In 2018 heeft de AP ook haar eerste boete uitgedeeld, al zag deze nog wel op de Wet bescherming persoonsgegevens en de per 1 januari 2016 ingevoerde meldplicht datalekken. Deze twijfelachtige eer ging naar Uber, die een boete van € 600.000 heeft gekregen omdat zij een datalek niet binnen de vereiste 72 uur (in feite pas ruim een jaar na dato) had gemeld. Daarnaast heeft de AP meerdere dwangsommen opgelegd en aanwijzingen gegeven, die werden opgevolgd voordat het tot sancties is gekomen. De verwachting is, en de AP heeft dat ook bevestigd, dat de AP in de komende tijd minder geduld zal hebben met organisaties en het niet voldoen aan de AVG harder zal bestraffen. De tijd om vertrouwd te raken met de AVG en daarin een weg te vinden, lijkt voorbij.
Afsluitend
De steeds actievere rol van de toezichthouders, komende wetgeving (bijvoorbeeld de ePrivacyverordening), snel groeiende technische mogelijkheden en toenemende voorlichting wijzen erop dat de rol van de AVG steeds groter wordt en dat alle organisaties (voor zover dat nog niet het geval is) eraan moeten geloven. De AVG is geen hype en zal de komende jaren nog veelvuldig onderwerp van gesprek zijn. Heeft u vragen over hoe aan de eisen uit de AVG te voldoen of hoe de AVG in een bepaald geval moet worden toegepast, neem dan contact op met Xander Alders of een van zijn collega’s uit het privacyteam van Pellicaan Advocaten.
