Negen maanden AVG: wat is er tot nu toe gebeurd?

De Algemene Verordening Gegevensbescherming (AVG) is inmiddels driekwart jaar van kracht. Tijd om de tussenstand op te maken. Waarbij de vraag is of de AVG ons wel de gegevensbescherming brengt waarop we op hadden gehoopt. De aangescherpte wetgeving werpt immers ook een dam op voor gegevens die we wél willen delen 

Sinds 25 mei 2018 hebben bijna tienduizend Nederlandse consumenten een klacht ingediend bij de Autoriteit Persoonsgegevens (AP), die belast is met het toezicht op de naleving van de Europese privacyregels. Zakelijke dienstverleners, de IT-sector en de overheid zijn in de ogen van consumenten de grootste boosdoeners, op de voet gevolgd door de financiële instellingen en zorginstellingen.

De meeste klachten gaan over een schending van een privacyrecht (32 procent), zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Zo komt het voor dat organisaties vragen om een kopie van een identiteitsbewijs, alvorens zij gegevens willen verwijderen. Dit mag vaak helemaal niet.

Megaboetes zijn er in Nederland nog niet opgelegd, maar er wordt wel actief gecontroleerd op de naleving van de wet. Zo heeft de AP begin december 2018 bij 53 organisaties het privacybeleid opgevraagd. Het gaat om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen die bijzondere persoonsgegevens over gezondheid en politieke voorkeur verwerken. Ze zijn daarom verplicht om in een privacy- of gegevensbeschermingsbeleid onder meer vast te leggen met welk doel zij die gegevens verwerken, wat de bewaartermijn is en hoe de databeveiliging in elkaar steekt.

Vooralsnog hebben deze onderzoeken niet geleid tot ingrijpende financiële sancties. De eerste boete die in Nederland onder de AVG-regels is uitgedeeld bedraagt 600.000 euro wegens het te laat melden van een datalek.

Meer controle is een concurrentievoordeel

Is er nu veel veranderd sinds mei? Het goede nieuws is dat de meeste bedrijven zich er bewust van zijn geworden dat er voorzichtig omgegaan moet worden met data. De AVG heeft ervoor gezorgd dat bedrijven die compliant zijn, een overzicht hebben van de data. Ze weten waar wat is opgeslagen en hebben meer controle.

Dat is een concurrentievoordeel. De consument zal niet zo snel kiezen voor een bedrijf dat steken laat vallen op het gebied van dataprivacy. Een organisatie heeft dus niet alleen boetes te vrezen, maar kan ook reputatieschade oplopen als ze niet voldoet aan de AVG.

Consumenten hebben op hun beurt veel meer waarborgen. Ze hebben het recht om informatie op te vragen en een pressiemiddel, omdat ze klachten kunnen indienen bij de AP. Tegelijkertijd ontstaat daar ook een dilemma. Aan de ene kant zijn wij als consumenten bang voor de groeiende marktmacht van grote dataverzamelaars, maar we kunnen eigenlijk ook niet zonder het gemak van hun producten of diensten. En we vinden het ook wel makkelijk om aanbiedingen te krijgen die bij onze interesses aansluiten.

Daar wringt de AVG inmiddels. De aangescherpte wetgeving werpt deels een dam op voor gegevens die we wel willen delen. We zullen eerlijker moeten worden over waartegen we wel en waartegen we niet beschermd willen worden. Werd het privacydebat tot nu toe beheerst door angst voor het onbekende, we zullen moeten toegeven dat hedendaagse dataprivacy soms een uitruil is waarbij je concessies moet doen.

Hoe blijf je compliant?

Momenteel merken we, dat het grootste vraagstuk dat nu bij bedrijven leeft, is hoe je ervoor kunt zorgen dat je compliant blijft. De meeste organisaties hadden 25 mei 2018 rood omcirkeld in de agenda staan en voldeden op of rond die datum aan de gestelde privacy-eisen. Maar hoe kun je over een jaar checken of je nog steeds compliant bent? Hoe zorg je ervoor dat de AVG op de agenda blijft staan?

Het belangrijkste daarbij is dataprivacy goed te beleggen in de organisatie. Zorg dat alle partijen, van de IT-afdeling tot marketing, bij elkaar aan tafel zitten om te zorgen dat alle processen en procedures op orde zijn. Stel iemand aan die is belast met privacy, ook als het niet verplicht is. Is de respons op databreuken up-to-date? Weet iedereen binnen de organisatie wat hij of zij moet doen als er een incident is?

Belangrijk is ook dat privacy naar aanleiding van de AVG ook op de agenda van de toezichthouders komt te staan. De raad van commissarissen is immers ook verantwoordelijk voor de naleving van wet- en regelgeving. Ze moeten weten welke vragen ze moeten stellen om te controleren of een organisatie voldoet aan de AVG. Organisaties en bedrijven die zo te werk gaan en begrijpen wat consumenten willen weten over hun gegevens, winnen het (digitale) vertrouwen van de klant.