2018: Het Jaar van de AVG

Op 25 mei 2018 werd de Algemene verordening gegevensbescherming ingevoerd. Met die AVG of GDPR zijn we het afgelopen jaar doodgegooid. Maar nog altijd worstelen organisaties met de nieuwe wet en weten consumenten niet wat de regels inhouden.

Het is wennen. Voor iedereen. ICT-jurist Arnoud Engelfriet constateerde een half jaar na de invoering: ‘De AVG staat bij iedereen op de agenda, dat is mooi. Er is een verwerkingsregister opgezet, er zijn verwerkersovereenkomsten gesloten, privacyverklaringen zijn herschreven. En dan denk je: we zijn klaar. We hebben het huis verbouwd, het dak ligt erop, de regenbui komt eraan, we kunnen de luiken dichtdoen. Maar de AVG is geen regenbui, ze is een blijvende verandering.’

Engelfriet stelt dan ook vast dat organisaties nog onwennig omgaan met de nieuwe regels: ze denken dat ze óveral toestemming voor moeten vragen. ‘Dan krijg je dus scholen die tegen de ouders zeggen: wilt u toestemming geven om uw zoon of dochter op de bellijst te zetten?’

Uit onderzoek van accountantskantoor KPMG gepubliceerd in oktober blijkt dat 98 procent van de Nederlanders op de hoogte is van de Algemene Verordening Gegevensbescherming (AVG). Maar wat de regels precies inhouden weten de meeste Nederlanders niet. En minder dan de helft is van plan om organisaties en bedrijven te vragen om hun persoonsgegevens weg te halen.

Zeker tienduizend mensen hebben het afgelopen half jaar al wel een privacyklacht ingediend bij de Autoriteit Persoonsgegevens (AP), maar dat is dan ook een fanatieke toplaag. Ze klaagden vooral wanneer meer gegevens werden gevraagd dan noodzakelijk was en als persoonsgegevens aan derden worden doorgegeven.

Ook bedrijven worstelen nog met de materie. Ruim een half jaar na de invoering heeft bijna een kwart van de Nederlandse werknemers bijvoorbeeld nog geen AVG-beleid ontvangen. In de nieuwe privacywetgeving worden alle bedrijven verplicht gesteld om een privacy-beleid voor hun werknemers op te stellen als met vertrouwelijke informatie willen omgaan.

Nog maar dertig procent van de grote uitgevers in Europa is AVG compliant, bij adverteerders is dit cijfer zelfs vele malen lager, zo bleek in oktober. Sommigen kijken de kat uit de boom tot de eerste dwangsom.

In juni bleek dat ook de Belastingdienst waarschijnlijk nog een jaar nodig heeft om te kunnen voldoen aan de nieuwe Europese privacywet. Tot die tijd stopt de dienst in elk geval met de verwerking van persoonsgegevens waarbij mogelijk de regels worden overtreden, zoals het gebruik van camerabeelden voor het toezicht op de motorrijtuigenbelasting.

Uitgerekend de Europese Commissie bleek eerder dit jaar – net als het Europese Parlement – ook niet te voldoen aan de vereisten voor databescherming die de AVG oplegt. Op EC-websites staan zowel cookies als ook spreadsheets met persoonlijke gegevens van workshop- en conferentiebezoekers. Brussel reageerde door te zeggen dat EU-organisaties niet onder de AVG vallen, maar onder een andere set privacyregels die nu nog niet van kracht zijn.

In Europa zijn inmiddels slechts twee boetes uitgedeeld. De Nederlandse toezichthouder controleert vooral of de juiste procedures worden gevolgd. Er worden slechts waarschuwingen uitgedeeld als blijkt dat er nog geen privacy-officer is aangesteld. Eind november bleek dat niet alle Nederlandse banken voldoen aan een nieuwe verplichting uit de privacywetgeving om een functionaris voor gegevensbescherming aan te stellen. Volgens een eerste controle door de Autoriteit Persoonsgegevens hebben zes banken en negen verzekeraars nog niemand voor de post aangemeld.

Bedrijven en organisaties die zich niet aan de AVG houden, riskeren in principe een boete van maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

De Autoriteit Persoonsgegevens (AP) is inmiddels al wel een onderzoek gestart naar de verkoop van persoonsgegevens door sportbonden. De tennisbond KNLTB heeft de gegevens van zijn leden doorverkocht voor commerciële doeleinden, zonder dat zij daarvan op de hoogte werden gesteld.

Reclamezuilen die voorbijgangers met een camera herkenbaar in beeld brengen, mogen dat ook niet doen zonder nadrukkelijke toestemming. Adverteerders gebruiken camera’s in reclamezuilen om te analyseren wat voor soort mensen op welke tijden voorbij lopen.

Wifitracking mag onder de AVG niet zonder meer worden uitgevoerd. Daarbij wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. De nieuwe privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking. En dat wordt wat moeilijk bij het volgen van consumenten op straat.

Voor veel organisaties betekent de AVG toch vooral een onaangename kostenpost. De gemeente Staphorst, de kleinste gemeente van Overijssel, moet bijvoorbeeld 3,5 fulltime medewerkers aannemen om alle regelgeving in goede banen te leiden.

Voor het eerst in jaren kan het Rode Kruis geen fruitmanden in deze gemeente versturen aan 80-plussers en langdurig zieken in de gemeente. Kerken, zorginstellingen gemeenten mogen de gegevens niet meer verstrekken.