De AVG bestaat 4 jaar: tijd om de zaak op te maken
Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht gegaan. Een mooi moment om op de vierde verjaardag eens de balans op te maken. Want hoeveel meldingen van datalekken zijn er sinds de invoering gedaan? En hoe vaak heeft het niet naleven van de AVG ook daadwerkelijk geleid tot boetes? Wat is er in de afgelopen jaren veranderd aan de AVG? Met vier jaar achter ons, hebben we met MnP een goed beeld opgebouwd van waar er bij organisaties nog valt te winnen bij het naleven van de AVG. Ook die lessen delen we graag met je in dit artikel.
Achtergrond
Zoals gezegd, de AVG is vier jaar geleden ingevoerd. Daarmee heeft de AVG gezorgd voor het versterken en het uitbreiden van privacyrechten, zodat die rechten beter aansluiten op het digitale tijdperk. Volgens de Rijksoverheid geeft de wet enerzijds personen meer rechten over hun eigen gegevens en anderzijds organisaties meer verantwoordelijkheid omtrent het zorgvuldig omgaan met diezelfde (digitale) persoonsgegevens van personen.
Al bij de invoering spraken organisaties hun zorgen uit over het implementeren van de AVG. Die zorgen ontstonden over het tijdig afronden van de implementatie én over de hoogte van de boetes, met bijkomende reputatieschade bij het overtreden van de AVG.
Boete
Laten we dan eens kijken naar de opgelegde boetes. Sinds de implementatie van de AVG zijn er 24 boetes opgelegd in Nederland. De meldingen zijn als volgt verdeeld:
25% betreft een menselijke fout.
46% betreft het schenden van rechten van betrokkenen.
8% betreft de verkeerde verwerkingsgrondslag.
17% betreft een technisch foutieve naleving.
Er zijn richtlijnen opgesteld voor het toepassen en vaststellen van boetes. Deze zijn echter nog niet Europees vastgelegd, waardoor landen op dit moment nog elk een eigen boetebeleid hebben. Bij de implementatie van de AVG hebben alle Europese privacytoezichthouders, in Nederland is dit de Autoriteit Persoonsgegevens (AP), de bevoegdheid gekregen om boetes op te leggen.
Maar wanneer krijg je dan eigenlijk een boete? Kort gezegd: wanneer een organisatie de privacywetgeving overtreedt. Ook kan de AP een corrigerende maatregel opleggen, zoals een waarschuwing, een last onder dwangsom of een bindende aanwijzing. Een aantal opvallendheden:
De AP kan uit eigen beweging onderzoek doen naar mogelijke overtredingen van de wet of treedt op naar aanleiding van klachten/meldingen.
De hoogte van de boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Het schenden van de rechten van betrokkenen kan een boete opleveren. Een voorbeeld van zo’n boete, is het niet voldoen aan een recht tot inzage door Theodoor Gilissen Bankiers, waarvan de hoogte 48.000 euro bedroeg. Om dit soort problemen te voorkomen, hanteert MnP Solutions hiervoor een ‘Procedure databeheer’ waarin staat omschreven welke stappen je moet ondernemen, wanneer een betrokkene invulling geeft aan één van zijn rechten én met welke randvoorwaarden je rekening moet houden.
Het te laat melden van een datalek komt vaak voor. Een voorbeeld van een boete betreft het te laat melden van een datalek via phishing bij Booking.com. De hoogte daarvan bedroeg 475.000 euro. MnP Solutions heeft hiervoor een procedure betreffende ‘Omgang Datalek’. Door het volgen van een vast stappenplan, voorkom je het te laat melden van een datalek.
Voor het ontbreken van een privacy statement kan ook een boete worden opgelegd door de AP. Een voorbeeld van een boete betreft een onvolledig privacy statement bij een parkeerwacht bedrijf/deurwaarderskantoor met een hoogte van 50.000 euro. Om deze boete te voorkomen, stelt MnP Solutions voor opdrachtgevers het privacy statement op en werkt deze regelmatig bij.
Meldingen bij AP
Zoals de grafiek laat zien, is het aantal datalek meldingen over de jaren vrij stabiel:
Sinds de invoering van de AVG zijn er wel significant meer klachten gemeld. Dit zijn er zelfs zoveel dat de AP het niet meer kan bijbenen. In 2020 is de telefonische tiplijn door capaciteitsproblemen van 8 uur bereikbaarheid per dag naar 6 uur. In 2021 is dit zelfs teruggebracht naar 2 uur per dag. Dit heeft gezorgd voor minder gemelde klachten, maar dat geeft logischerwijs een vertekend beeld:
Vooruit komen door terug te kijken
We openden er al mee, in de afgelopen vier jaar is er op basis van uitspraken natuurlijk een verder inzicht ontwikkeld in de juiste omgang met persoonsgegevens. Daarnaast hebben we met MnP Solutions de afgelopen vier jaar opdrachtgevers intensief ondersteund bij AVG compliant werken. De lessen uit vier jaar AVG delen we graag met je.
Privacyshield
Een belangrijke ontwikkeling uit de afgelopen vier jaar, is het Schrems II arrest. In dit arrest is het Privacy Shield ongeldig verklaard. Op basis van het Privacy Shield konden er persoonsgegevens worden doorgegeven vanuit de EU aan de VS. Na het ongeldig verklaren van het Privacy Shield mochten persoonsgegevens niet meer verwerkt worden in de VS. Het ongeldig verklaarde Privacy Shield betekent niet dat persoonsgegevens helemaal niet meer in de VS verwerkt mogen worden, er zijn namelijk maatregelen die genomen kunnen worden om dit toch op een veilige manier te organiseren. Wil je daar meer over weten? Neem dan contact met ons op..
Wat ontbreekt nog bij organisaties?
Bij veel bedrijven heerst de opvatting dat de AVG van toepassing is op de klantgegevens. Maar de AVG is ook van groot belang voor de interne organisatie en haar eigen medewerkers. Ook de privacy van medewerkers moet goed worden beschermd. In de afgelopen vier jaar hebben we nog vaak ruimte voor verbetering gezien, op de volgende vlakken:
Bewaartermijn
Er bestaan diverse wettelijk vastgestelde bewaartermijnen voor persoonsgegevens. Daarnaast kan een organisatie voor verschillende persoonsgegevens, verschillende bewaartermijnen vaststellen. We zien dat in veel van de gevallen organisaties de wettelijk vastgestelde bewaartermijnen niet aanhouden én/of hun eigen gestelde bewaartermijnen niet als zodanig naleven.
Foto’s op de website
De meeste organisaties hebben wel foto’s op de websites van hun werknemers. In veel gevallen is de grondslag voor de plaatsing van foto’s op de website echter foutief omdat hier geen toestemming voor wordt gevraagd aan de medewerker. En die toestemming is wel degelijk noodzakelijk. Veel bedrijven zien dit als iets waar zelf een beslissing over genomen kan worden zonder de medewerker te informeren.
In sommige gevallen kan een andere grondslag echter voorrang krijgen op de rechten van een betrokkene. In de Coolblue zaak, waarbij een werknemer met zijn portret op vele bussen van Coolblue stond, is toestemming gegeven voor het plaatsen van dit portret op de bussen. Na ontslag trok de werknemer zijn toestemming in en wilde dat zijn foto werd verwijderd. Het verwijderen van het portret op al de bussen van Coolblue is volgens de rechtbank een te ingrijpende procedure. Hier gaat het belang van Coolblue dus voor op de toestemming die de medewerker heeft gegeven.
Privacy statement
Veel organisaties hebben wel een privacystatement, alleen ontbreken vaak de contactgegevens waar privacy vragen gesteld kunnen worden. Of het document bevat het geen informatie over omgang met gegevens van sollicitanten. Hiervoor kan een boete worden gegeven.
Verwerkersovereenkomst
We zien het vaak: een onvolledige verwerkersovereenkomst. Een boete kan bijvoorbeeld worden opgelegd als er geen of een onvolledige verwerkersovereenkomst is. Een verwerkersovereenkomst is verplicht indien je een andere organisatie de opdracht geeft om persoonsgegevens te verwerken waarvoor jij verantwoordelijk bent.
Nu & straks
Hoe kijken organisaties er nu naar? Organisaties zijn beter bezig met het implementeren en bijhouden van de AVG. Er is meer informatie, er is meer jurisprudentie. Dat helpt organisaties om betere keuzes te maken in de omgang met privacygevoelige informatie.
Waar de initiële angst vooral bestond over het op tijd voldoen aan de wet, hebben organisaties de basis inmiddels natuurlijk wel op de rit. Toch tonen de boetes aan, dat er ook na implementatie nog vaak ruimte is voor verbetering. De voorbeelden laten niet alleen nalatigheid zien, maar zijn soms ook een gevolg van goedbedoelde maar niet goed genomen maatregelen.
Hoe ziet de komende periode er dan uit? De Autoriteit Persoonsgegevens geeft in een rapport aan dat de focus in de periode 2020 – 2023 ligt op ‘dataprotectie in een digitale samenleving’. Door de digitalisering van de samenleving is het namelijk uitdagend om de bescherming van persoonsgegevens te bevorderen en te bewaken.
De ontwikkelingen die zij daarbij zien:
Een doorgroei van de data samenleving.’‘ Er is steeds meer data beschikbaar en dit blijft alleen maar doorgroeien. Data is steeds diverser, specifieker, persoonlijker en diepgaander. Hier hebben we met zijn allen de verantwoordelijkheid voor om dit te beschermen.
‘Toename bewustzijn omtrent privacy risico’s, aangezien criminelen steeds nieuwe manieren bedenken om gegevens afhandig te maken.
Toename van digitaal onrecht. Er is steeds meer data online beschikbaar voor gebruik in negatieve zin. Denk aan geautomatiseerde besluitvorming waardoor mensen ten onrechte kunnen worden buitengesloten of denk aan illegale datahandel.
Een belangrijke aankondiging op 25 maart 2022 betreft het principeakkoord van President Biden met de voorzitter van de Europese Commissie omtrent het ‘Privacyshield 2.0’. Dit is nog niet de definitieve uitkomst.
Het AVG boetebeleid zal meer gelijk worden getrokken over de verschillende Europese landen. Op dit moment kan elk land nu nog zijn eigen beleid hanteren.
Samen goed voorbereid die toekomst in? De Privacy Hub van MnP Solutions helpt je organisatie om compliant te zijn met de AVG en zo boetes te voorkomen. Neem contact op met privacy@mnpsolutions.nl, dan kijken we samen naar een AVG proof beleid voor jouw organisatie