Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Hoe staan we ervoor na één jaar AVG?

Serieuze handhaving laat op zich wachten

Worstelende bedrijven

Burgers mogen dan wel steeds bekender worden met de wet, maar voor bedrijven blijft de AVG ook na een jaar een dure, onduidelijke aangelegenheid. "Vanaf 25 mei geldt: fout is fout", zei AP-voorzitter Aleid Wolfsen vorig jaar in meerdere interviews. Dat leek slecht nieuws voor veel ondernemers, want veel bedrijven leken bij lange na nog niet klaar te zijn voor de wet. MKB-Nederland uitte bijvoorbeeld zijn zorgen. Enkele weken voor de wet in werking trad, zou slechts een klein aantal van alle kleine en middelgrote bedrijven in Nederland 'klaar zijn' voor AVG.

Een jaar na de invoering lijkt die situatie op het eerste gezicht weinig verbeterd. In plaats van dat de regels langzaam maar zeker duidelijker zijn geworden voor ondernemers, klagen zij juist nog steeds over de obstakels die de wet met zich meebrengt. Vorige week schreven belangenverenigingen MKB-Nederland en VNO-NCW een brandbrief aan de Tweede Kamer waarin zij pleitten voor een uitzonderingspositie voor het midden- en kleinbedrijf binnen de AVG. Er moet 'een veel stevigere uitzonderingspositie komen' voor bedrijven 'die alleen doorsnee dingen met gegevens doen', schrijven de organisaties.

Opvallend genoeg was zo'n positie er al lang. "Onder de Wet Bescherming Persoonsgegevens was er een zogeheten vrijstellingsbesluit", zegt Jeroen Terstegge. "Je hoefde dan niet te melden als het verwerken van gegevens niet zo spannend was. Ieder bedrijf moet aan salarisadministratie doen, dus je hoefde niet specifiek vast te leggen dat je dat doet." Die leidraad bestaat nu niet meer. Volgens Terstegge is dat jammer, want het zou voor het bedrijfsleven een goede manier zijn om aan de wet te voldoen zonder al te veel moeite. "In dat vrijstellingsbesluit stond bijvoorbeeld dat je niet hoefde te registreren dat je camerabewaking had als je de beelden niet langer dan een maand opsloeg. Dat is voor bedrijven makkelijk; die bewaren die beelden dan die maximale periode en ze voldoen aan de richtlijnen."

Voldoen aan de AVG zorgt niet automatisch voor betere privacyDat is niet eens alleen goed om compliant te zijn, maar ook goed voor de privacy in het algemeen. Terstegge: "Daarmee deden bedrijven al aan dataminimalisatie. Je verzamelt niet meer gegevens dan je nodig hebt, bewaart niks langer dan noodzakelijk. Het was een soort privacy by design." Hij denkt dan ook dat de AP er goed aan zou doen zo'n beleid weer in het leven te roepen.

AVG bij de overheid

Ook bij overheidsinstellingen schortte het aan AVG-compliance. Een paar maanden voor de wet in zou gaan, trok de Belastingdienst aan de bel. De fiscus zou niet op tijd voldoen aan maatregelen om aan de AVG te voldoen. Nu, een jaar later, is dat nog steeds niet helemaal het geval. Wel maakte de dienst een eindsprint om redelijk in de buurt te komen. Het zijn vooral de it-systemen die grote organisaties als de Belastingdienst parten spelen. "Sommige systemen zijn gebaseerd op een databasemanagementsysteem dat geen mogelijkheid heeft om records fysiek te verwijderen", schrijft staatssecretaris Snel in een brief aan de Tweede Kamer.

Bedrijven zeggen dat het vooral moeilijk is de ingewikkelde regels van de wet te interpreteren - ondernemers noemen het volgens een onderzoek van Motivaction een 'draak van een wet'. "Het blijkt dat de zeer complexe voorschriften en de vage normen - ook na inspanningen met hulp van branches, het ministerie en de Autoriteit Persoonsgegevens - niet eenvoudig toe te passen zijn", schrijft MKB-Nederland. De organisatie zegt zelfs dat de AVG averechts werkt. "Zo werkt de missie van de toezichthouder om in steeds meer gevallen toestemming te vereisen juist een laconieke houding bij consumenten in de hand. En de verplichting om privacygedragscodes vergezeld te laten gaan van een eigen interne toezichthouder leidt juist tot minder van die codes."

Technologieneutrale wet

Volgens de Autoriteit Persoonsgegevens is het helemaal niet zo moeilijk. De toezichthouder maakte vorig jaar een gratis tool beschikbaar voor bedrijven, www.hulpbijprivacy.nl. "Als bedrijven die volgen, dan kunnen ze er zeker van zijn dat ze compliant zijn", zei Wolfsen toen. De bedrijven zeiden er niet veel aan te hebben, want veel begrippen in de tool zijn niet duidelijk. Wanneer is iets bijvoorbeeld een 'gerechtvaardigd belang'?

Aleid Wolfsen zegt dat de AVG juist bewust breed en volgens algemene principes is opgesteld. "Zij is technologieneutraal", noemt hij het. "Als je een nieuw systeem bouwt, moet dat volgens 'privacy by design'. Dat is een heel open begrip dat ondernemers zelf kunnen invullen, waar ze kunnen uitgaan van de specifieke kenmerken van hun onderneming en de gebruikte technieken. Het is allemaal juist bedoeld om ondernemers juist zo goed mogelijk te bedienen, maar ik snap tegelijkertijd wel dat zij daar onzeker van kunnen worden."

Dat erkent ook Martijn van der Veen van Privacy First. Hij denkt dat er op sommige momenten misschien ook wel teveel naar de AP wordt gekeken voor het verlossende antwoord. "De AVG heeft allemaal open normen, je kunt die wet heel ruim interpreteren. Wie zegt bijvoorbeeld wat een 'gerechtvaardigd belang' is, als het gaat om de vraag of je data mag opslaan? Bedrijven nemen die vrijheid heel ruim." Daar komt ook bij dat privacy volgens hem een heel persoonlijk begrip is. "Twee identieke bedrijven kunnen tijdens een incident heel anders benaderd worden omdat ze bijvoorbeeld een andere ict-inrichting hebben."

Geldbesparing

Bedrijven klagen dat de AVG hen veel geld kostVolgens bedrijven of instellingen zoals banken kost het hun handen met geld om te voldoen aan de wet. Dure consultants, workshops, certificaten waarmee je het predicaat 'AVG-proof' aan je muur mag hangen, juristen kunnen er makkelijk duizenden euro's voor vragen. Aleid Wolfsen zegt echter dat de nieuwe privacywet ook juist geld bespaart. "Ondernemers moesten het tot vorig jaar verplicht melden als zij bestanden bewaarden. Dus wij hadden hier kasten vol met meldingen staan. Er is wel eens berekend dat dat voor ondernemers door heel Europa heen 130 miljoen euro per jaar kost. Onder die AVG is die notificatieplicht er niet meer. Bedrijven moeten dat nu zelf bijhouden en zijn daar zelf verantwoordelijk voor."

De gemiddelde kosten per werknemer voor de AVG volgens onderzoek van consultantsbureau Sia Partners

Voorlichting geven

De taak van de toezichthouder is tweeledig. Naast het uitdelen van boetes geeft de waakhond ook advies. Maar die voorlichtende taak, daar gaat het volgens veel ondernemers nog mis. Belangenorganisaties wijzen naar de AP, die te vaag zou zijn over wat er wel en niet mag, maar daar is Wolfsen het niet mee eens. "Organisaties zoals MKB-Nederland en VNO-NCW kunnen ook de hand in eigen boezem steken en zich afvragen of ze wel tijdig genoeg voorlichting hebben gegeven aan hun leden. Zij worden betaald om hun leden voor te lichten, ook op dit gebied. Dat kun je nu niet alleen op de Tweede Kamer of op ons afschuiven."

Wel geeft hij toe dat de AP zelf vrij laat begonnen is met voorlichting geven. "In aanloop naar mei vorig jaar hebben we er heel bewust voor gekozen om meer aan voorlichting te doen, ook omdat de AVG daar heel nadrukkelijk om vraagt, bijvoorbeeld met een campagne. Daarvoor stonden we bekend als een wat naar binnen gerichte organisatie die voornamelijk achter de schermen met handhaving bezig was. We zagen toen wel dat ondernemers de wet ingewikkeld vonden, en daar hebben we begrip voor. Daarom zijn we onder andere met brancheorganisaties gaan praten en zijn we meer aan voorlichting gaan doen." Vorige week, een jaar ná invoering van de wet, startte de toezichthouder een tweede campagne, genaamd 'Wat betekent de privacywet voor jou', bedoeld voor zowel burgers als MKB'ers.

Onnodige barrières

Vaak wordt de AVG ook onnodig als barrière opgeworpen door bedrijven. Zo klagen ondernemers dat de privacywet hen verhindert om een nationaal frauderegister op te zetten, een landelijke database waarin fraudeurs worden opgenomen. Dat is al lang een wens van de detailhandel, maar volgens belangenorganisaties MKB-Nederland en VNO-NCW is de AVG een obstakel. Eerder klaagde het UWV over dezelfde problemen: de AVG zou hen verhinderen bijstandsfraudeurs aan te kunnen pakken.

Daar is Wolfsen het niet mee eens. "Er wordt wel eens te gemakkelijk gezegd dat de AVG iets tegenhoudt of dat iets niet mag van de AVG. Als wij dan vervolgens doorvragen, komen organisaties er al snel achter dat het gewoon mag wat zij willen, al dan niet met goede waarborgen. Natuurlijk mag een instantie als het UWV tegengaan dat mensen frauderen, natuurlijk mogen zorgverzekeraars dat ook. Ondernemers mogen echt wel intern een frauderegister opzetten, dat is vanzelfsprekend. Maar ze moeten wel zorgvuldig omgaan met de hogere belangen en goed opletten hoe ze dat doen. Is het bijvoorbeeld echt noodzakelijk om persoonsgegevens te verwerken? Wordt er rekening gehouden met de rechten van betrokkenen? De AVG is er op de eerste plaats om de privacy te beschermen, dan kan het zijn dat je daarom iets moet laten. Maar met de juiste waarborgen en beveiliging, en als we als maatschappij iets anders willen, dan kan er in sommige gevallen ook een wettelijke grondslag worden gecreëerd."


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True