Hoe staan we ervoor na één jaar AVG?

Precies een jaar geleden werden inboxen overdonderd met paniekerige verzoeken van bedrijven. "Mogen we je gegevens alsjeblieft blijven bewaren?" was de grote vraag voor enorme multinationals en kleine webshops. De AVG kwam er namelijk aan, en bijna niemand leek er echt klaar voor te zijn. Hoe is dat nu, ruim een jaar na de invoering?

De AVG: Hoe zat het ook alweer?

De Algemene Verordening Gegevensbescherming vierde vorige week haar eerste verjaardag. Of, iets genuanceerder gezegd, een jaar geleden begon de officiële handhaving van de wet, die eigenlijk al sinds 1 januari 2016 bestaat. Bedrijven konden vanaf dat moment makkelijker boetes krijgen voor het slecht beschermen van de data van hun gebruikers, en diezelfde burgers kregen meer rechten over hoe die gegevens verzameld mochten worden. Dat alles gebeurde onder toeziend oog van de privacywaakhond, de Autoriteit Persoonsgegevens. Het doel: de privacy van Europeanen beter beschermen.

Kort voor de invoering van de wet sloeg de paniek toe. Bedrijven haastten zich in allerijl om gebruikers allerlei toestemmingen te vragen ("Mogen we je nieuwsbrieven blijven sturen?" "Heb je er bezwaar tegen als je in ons klantenbestand blijft staan?") om 'AVG compliant' te worden - juristenspraak voor 'aan de regels voldoen'. Daardoor ontstond veel verwarring. Burgers hadden slechts een vaag idee wat hun rechten nu precies waren en bedrijven vreesden voor torenhoge boetes onder de draconische wet. Na een jaar zou je denken dat die storm een heel eind is gaan liggen, dat de juristen inmiddels de plooien hebben gladgestreken. In plaats daarvan is er nog steeds onduidelijkheid over rechten en plichten, en moet de waakhond zijn tanden nog steeds laten zien.

Niet heel veel veranderingen

Eerst maar eens een korte terugblik; hoe zit het ook alweer met die draconische wetgeving? De AVG is de Nederlandse variant van de GDPR, de General Data Protection Regulation. Dat is een Europese wet waar iedereen die gegevens verwerkt in de EU, zich aan moet houden, dus ook buitenlandse bedrijven die gegevens van Europese gebruikers opslaan. Technisch gezien gaat het om een verordening; dat betekent dat de wet op Europees niveau is geregeld en dat landen er zelf weinig aan kunnen veranderen. Het doel van de wet is om de vele verschillende Europese privacywetten gelijk te trekken. Voorheen had ieder land namelijk zijn eigen privacyregelgevingen waarvan er veel min of meer hetzelfde zeiden, maar die allemaal nét iets anders waren.

Veel regels van de AVG waren in Nederland al van kracht onder de oudere WBPIn Nederland verving de AVG vorig jaar dan ook de WBP, de Wet Bescherming Persoonsgegevens, en gelijk daar zit al de crux. Er is met de AVG namelijk niet zo heel erg veel veranderd ten opzichte van die eerste wet. Het is niet zo dat bedrijven ineens veel minder gegevens mogen opslaan, of dat op een radicaal andere manier moeten doen. Het grote verschil zit vooral in de handhaving. "Onder de WBP kraaide er geen haan naar wat je deed", zegt Martijn van der Veen, jurist bij stichting Privacy First. "Inhoudelijk is er weinig anders ten opzichte van de WBP, maar de AVG spreekt bedrijven en overheden aan op bestuursniveau - er moet meer worden nageleefd." Andere juristen beamen dat. "Mensen denken dat de AVG heel veel nieuwe dingen zegt, maar de meeste regels uit de AVG bestaan al dertig jaar in Nederland", zegt Jeroen Terstegge, partner bij Privacy Management Partners. Hij noemt zaken als het nieuwe inzagerecht - waarbij je bedrijven mag vragen om inzicht in de gegevens die ze van je hebben - en zelfs de beruchte boetes voor het slecht beschermen van de privacy. "Sinds 2016 kon de AP al boetes opleggen."

Als er dan niet zoveel veranderd is, waarom waren al die bedrijven vorig jaar dan zo in rep en roer? Voor een belangrijk deel komt dat doordat die bedrijven nu verplicht zijn aan de eisen te voldoen en dat er ook daadwerkelijk sancties staan op het niet volgen van de wet. Onder de AVG zijn bedrijven die data verwerken, ook wel 'gegevensverwerkers', verplicht een aantal maatregelen door te voeren. Zo moeten zij duidelijk op papier zetten wát voor data zij verzamelen, hoe ze die opslaan, wie er toegang toe heeft, en, niet onbelangrijk, waaróm het die data verzamelt. Ook moeten sommige bedrijven een 'data protection impact assessment' of DPIA doen, een analyse van de privacyrisico's die bij gegevensopslag horen.

Wat volgens Martijn van der Veen van Privacy First ook meespeelt, is dat de eisen rondom die gegevensverwerkingen een stuk serieuzer zijn geworden. "Bedrijven hebben hun privacyverklaringen nagelopen en hebben die concreter gemaakt. Dat moet ook wel, want onder de AVG zijn er veel meer elementen waar zo'n overeenkomst aan moet voldoen ten opzichte van de eerdere wet."

Een ander belangrijk onderdeel van de wet is het aannemen van een FG, een Functionaris Gegevensbescherming. Dat is iemand die binnen de organisatie toezicht houdt op de opslag en de beveiliging van data, een verplichte post voor iedere overheidsinstantie en ieder bedrijf dat op grote schaal burgers volgt, én voor bedrijven die werken met 'bijzondere persoonsgegevens' zoals medische informatie of gegevens over etniciteit of religie. Er zijn nog wat andere rechten, zoals het 'recht op vergetelheid' en het recht op dataportabiliteit.

Beruchte boetes

Naast de nieuwe verplichtingen is een van de belangrijkste dreigingen in de nieuwe wet de boetebevoegdheid. Landen krijgen onder de GDPR de bevoegdheid om boetes uit te delen aan bedrijven of instanties die de wet overtreden. In Nederland gebeurt dat door de Autoriteit Persoonsgegevens, die tijdens de opkomst van de wet nog erg enthousiast was over die bevoegdheden. De waakhond blafte volgens critici vooral, maar bijten, ho maar. "Dat verandert onder de AVG", sprak kersverse voorzitter Aleid Wolfsen een jaar vóór de invoering van de wet nog. "Daarmee krijgen we écht tanden."

De potentiële boetes voor bedrijven zijn hoog: twintig miljoen euro, of maximaal vier procent van de jaaromzet van een bedrijf. Daardoor schoten vooral kleine bedrijven al snel in de kramp. Zouden zij bankroet gaan bij het eerste onvermijdelijke datalek in hun organisatie? Dat lijkt zeker voor de metaforische slager om de hoek een nogal harde klap.

In Nederland zijn er nog geen boetes uitgedeeld voor overtredingen van de AVG. In andere landen gebeurde dat wel, maar slechts mondjesmaat. De Belgische Gegevensbeschermingsautoriteit deelde vorige week de eerste boete uit (van een bescheiden tweeduizend euro), en ook in een handvol andere Europese landen worden hier en daar wat straffen gegeven. De grootste boete tot nu toe is van de Franse privacywaakhond CNIL, die Google bestrafte met 50 miljoen euro voor de onduidelijkheid over gegevensverwerking. Voorzitter Aleid Wolfsen laat opnieuw doorschemeren dat de eerste boetes in Nederland binnenkort echt vallen. "We zitten momenteel in de afrondende fase van verschillende grote onderzoeken", vertelt hij aan Tweakers. "Binnenkort gaan we optreden, en daarvan verwacht ik dat mensen gaan zeggen: 'Dat snap ik wel, het is goed dat de AP daartegen optreedt'."

Het is niet de eerste keer dat de AP dreigt met haar nieuwe boetebevoegdheid. Sterker nog, een jaar geleden was dat hét stokpaardje van de toen nog relatief nieuwe Wolfsen. Daar is Jeroen Terstegge het niet helemaal mee eens. "Onder de WBP kon de AP ook al boetes opleggen, daar hebben ze twee jaar lang geen gebruik van gemaakt. Je moest dan als bedrijf wel 'grof nalatig' zijn in je privacyovertreding, maar ook het niet in huis hebben van een Functionaris Gegevensbescherming kun je in sommige gevallen zo zien, bijvoorbeeld als je met heel gevoelige gegevens werkt. Het probleem was echter dat de AP dan eerst een gele kaart moest uitdelen voor ze met een rode kon komen. Maar als je nu de boetebeleidsregels leest, dan doen ze dat nu ook niet. Ook onder de AVG bewaren ze hun boetebevoegdheid alleen voor nalatigheid, niet voor technische overtredingen."

Voor dat laatste kan de AP naar een 'last onder dwangsom' grijpen, een soort voorwaardelijke boete. Daarvan zijn er al wél een flink aantal opgelegd, en niet aan de minste. Onder andere de politie en het UWV kregen zoiets opgelegd. Wolfsen: "Mensen ervaren zo'n dwangsom ook wel echt als boete. Daarnaast hebben we een verwerkingsverbod opgelegd aan de Belastingdienst en hebben we veel aan voorlichting gedaan. "

Naast handhaving deed de AP ook veel aan controles. Een van de eerste wapenfeiten was een controle op de aanwezigheid van een Functionaris Gegevensbescherming bij onder andere de overheid, banken en verzekeraars, en bij medische instellingen.

Het lijkt er dan ook op de AVG langzaamaan wat op stoom begint te komen met betere handhaving en bedrijven die steeds meer moeite doen om aan de wet te voldoen. Maar is dat eigenlijk wel genoeg? "Dat je 'compliant' bent, betekent niet automatisch dat je ook aan privacybescherming doet", zegt Martijn van der Veen van Privacy First. "Dat is wel het doel van de wet: privacy van klanten en burgers beter beschermen. Maar of die dat ook doet..."

Van der Veen ziet wel wel signalen dat de AVG bedrijven en instellingen de goede kant op duwt. Hij noemt de recente ontwikkelingen bij de Kamer van Koophandel en het Bureau Kredietregistratie als voorbeeld. "Het was al jaren een bekende irritatie dat de KvK gegevens van ondernemers doorverkoopt, maar met de AVG komt er meer bewustzijn door en kan zo'n situatie veranderen." Hetzelfde geldt voor het Bureau Kredietregistratie, waar burgers geld moesten betalen om in te zien welke gegevens over hen bekend waren. En er is het feit dat de Belastingdienst moet stoppen met het burgerservicenummer in btw-nummers voor zelfstandige ondernemers. Volgens Van der Veen kun je dat zien als een gevolg van de AVG en vernieuwde aandacht voor privacy.

De Autoriteit Persoonsgegevens kreeg bijna 20.000 privacyklachten binnen in het eerste AVG-jaarHij is daar niet alleen in. Ook de Autoriteit Persoonsgegevens ziet bovenstaande feiten als overwinningen die de toezichthouder behaalde. Wolfsen somt ze op als hem gevraagd wordt wat het eerste jaar AVG bereikt heeft. En hij pronkt met het feit dat van alle landen in Europa Nederlanders de toezichthouder het best kunnen vinden. De AP is dagelijks bereikbaar voor advies, klachten en vragen. Die laatste twee zijn er in ieder geval genoeg. Bij de AP stromen ze binnen; sinds 25 mei 2018 kwamen er bijna 20.000 klachten binnen. Onder zo'n klacht verstaat de AP "alles wat een potentiële schending van je privacyrechten is", vertelt Aleid Wolfsen. De organisatie heeft het daar druk mee; onder de AVG is de toezichthouder verplicht iedere klacht in behandeling te nemen. Dat gebeurt ook, zegt Wolfsen, al gaat het doorgaans niet om diepgravende onderzoeken. "Vaak is het al genoeg om even een brief te sturen aan een bedrijf of even een belletje te plegen om hen te wijzen op hun plichten. Dat gaat tot nu toe goed." De klager staat centraal, zegt hij. "Als een burger tevreden is met een klachtenafhandeling, dan zijn wij dat ook." Tegelijkertijd geeft hij ook toe dat de AP onderbezet is en lang niet het aantal medewerkers heeft om de huidige vraag te kunnen opvangen.

Dataverzoek is geen klantenservice

Burgers mogen zich dan wel bewuster zijn van hun rechten, dat vertaalt zich lang niet altijd naar betere privacybescherming. Van der Veen van Privacy First ziet dat veel burgers lang niet altijd profiteren van de rechten van de AVG, zelfs als bedrijven wel netjes aan alle vereisten voldoen. Hij noemt als voorbeeld het feit dat een bedrijf of instelling binnen vier weken moet reageren op een inzageverzoek. Wil je dus bijvoorbeeld weten welke data een bedrijf van je heeft, of wil je dat die vernietigd wordt, dan kun je soms tot wel een maand wachten voor een bedrijf daar antwoord op geeft. En let op: 'reageren' betekent in dit geval niet eens 'voldoen' aan een verzoek. Het betekent dat een bedrijf je moet laten weten óf je recht hebt op inzage, en of het daaraan gaat voldoen.

Bovendien is de manier waarop zo'n verzoek moet worden ingediend, niet erg makkelijk. Sommige bedrijven eisen dat dat per fysieke post gebeurt, of dat je een kopie van je paspoort meestuurt. "Je ziet ook dat je nog steeds vaak wordt tegengewerkt als je zo'n inzageverzoek doet", zegt David Korteweg van digitale burgerrechtenbescherming Bits of Freedom. "Dat is onacceptabel, want je hebt hier gewoon volgens de wet recht op." Van der Veen van Privacy First ziet daarin zelfs een paradox. "Vanuit een perspectief van privacybescherming zou je denken dat zo'n verzoek net zo afgehandeld wordt als ieder ander klantenserviceverzoek. Dan zijn we gewend maximaal één, misschien twee dagen te wachten op antwoord. Bij de AVG is dat bijna nooit het geval."

Onder de AVG zouden burgers meer overzicht moeten krijgen in hun privacy, maar op het gebied van inzageverzoeken lijkt er dus nog veel werk aan de winkel. Bedrijven mogen dus op papier wel voldoen aan alle eisen, maar in de praktijk werkt dat lang niet zo goed als je zou hopen. Hetzelfde geldt voor de extra toestemming die bedrijven nu ineens vragen voor het verwerken van data. Die leidt inmiddels juist tot een soort toestemmingsmoeheid, ziet Bits of Freedom. "Je wordt via bewuste ontwerpkeuzes verleid om snel op ‘akkoord’ te klikken en niet te veel stil te staan bij de gevolgen", David Korteweg. "Waar je precies mee akkoord gaat, is onduidelijk. Iedereen die tegenwoordig online gaat, ziet ook wel dat er een soort toestemmingsinflatie is, met al die cookiemeldingen." Dat is ook geen échte toestemming, denkt hij. "Als je kijkt naar wanneer iets 'geldige toestemming' is, dan kun je van heel veel van deze situaties zeggen dat het niet zo is. Het is bovendien bijna onmogelijk níét op 'akkoord' te klikken."

Bescherming tegen 'de F en de G'

"De echte verbetering van de AVG is regelgeving voor bedrijven als Google en Facebook"De échte verbetering van de AVG, zegt Jeroen Terstegge, is de bescherming die de AVG biedt tegen grote, veelal Amerikaanse techbedrijven. "De F en de G hangen boven deze wet, zeg ik wel eens. Facebook en Google. Deze wet gaat niet om hoe de bakker op de hoek met klantdata omgaat, maar om hoe die grote bedrijven dat doen. Iedereen, of het nou de VS of China is, moet zich aan die wet houden. Daar zijn zeker die Amerikaanse bedrijven zich rot van geschrokken, zeker als je dan ook nog een toezichthouder hebt die meteen zijn spierballen laat zien." Mede door de angst voor de AVG wordt er in Amerika ook steeds meer gesproken over een federale privacywetgeving.

Van de andere kant ziet Terstegge niet zo heel veel verschil in hoe Facebook, Google en veel andere Silicon Valley-giganten zijn veranderd sinds de wet. "Die bedrijven moesten zich ook vroeger al aan die wet houden. Voor een bedrijf als Facebook was dat specifiek de Ierse wet, maar dat was altijd een soort broertje van de WBP en niet zo heel veel anders. Ze zijn nu verplicht een FG in dienst te hebben, maar Facebook had altijd al een Chief Privacy Officer in dienst. Dus of het ook echt beter is voor de privacy van gebruikers is maar de vraag. Ik heb niet de indruk dat er veel veranderd is."

Aleid Wolfsen denkt daar anders over. Hij zegt dat de AVG niet alleen maar op Amerikaanse bedrijven gericht is. "Maar het is wel zo dat de wet probeert grote situaties te voorkomen. Cambridge Analytica, de hack op Equifax, dat soort incidenten willen we hier niet. De digitalisering heeft heel veel goeds voortgebracht, maar dat moeten we goed in balans houden, met ons grondrecht op privacy. Daarvoor is de AVG bedoeld en dat geldt zowel voor Google en Facebook als voor de buurtvereniging."

Burgers mogen dan wel steeds bekender worden met de wet, maar voor bedrijven blijft de AVG ook na een jaar een dure, onduidelijke aangelegenheid. "Vanaf 25 mei geldt: fout is fout", zei AP-voorzitter Aleid Wolfsen vorig jaar in meerdere interviews. Dat leek slecht nieuws voor veel ondernemers, want veel bedrijven leken bij lange na nog niet klaar te zijn voor de wet. MKB-Nederland uitte bijvoorbeeld zijn zorgen. Enkele weken voor de wet in werking trad, zou slechts een klein aantal van alle kleine en middelgrote bedrijven in Nederland 'klaar zijn' voor AVG.

Een jaar na de invoering lijkt die situatie op het eerste gezicht weinig verbeterd. In plaats van dat de regels langzaam maar zeker duidelijker zijn geworden voor ondernemers, klagen zij juist nog steeds over de obstakels die de wet met zich meebrengt. Vorige week schreven belangenverenigingen MKB-Nederland en VNO-NCW een brandbrief aan de Tweede Kamer waarin zij pleitten voor een uitzonderingspositie voor het midden- en kleinbedrijf binnen de AVG. Er moet 'een veel stevigere uitzonderingspositie komen' voor bedrijven 'die alleen doorsnee dingen met gegevens doen', schrijven de organisaties.

Opvallend genoeg was zo'n positie er al lang. "Onder de Wet Bescherming Persoonsgegevens was er een zogeheten vrijstellingsbesluit", zegt Jeroen Terstegge. "Je hoefde dan niet te melden als het verwerken van gegevens niet zo spannend was. Ieder bedrijf moet aan salarisadministratie doen, dus je hoefde niet specifiek vast te leggen dat je dat doet." Die leidraad bestaat nu niet meer. Volgens Terstegge is dat jammer, want het zou voor het bedrijfsleven een goede manier zijn om aan de wet te voldoen zonder al te veel moeite. "In dat vrijstellingsbesluit stond bijvoorbeeld dat je niet hoefde te registreren dat je camerabewaking had als je de beelden niet langer dan een maand opsloeg. Dat is voor bedrijven makkelijk; die bewaren die beelden dan die maximale periode en ze voldoen aan de richtlijnen."

Voldoen aan de AVG zorgt niet automatisch voor betere privacyDat is niet eens alleen goed om compliant te zijn, maar ook goed voor de privacy in het algemeen. Terstegge: "Daarmee deden bedrijven al aan dataminimalisatie. Je verzamelt niet meer gegevens dan je nodig hebt, bewaart niks langer dan noodzakelijk. Het was een soort privacy by design." Hij denkt dan ook dat de AP er goed aan zou doen zo'n beleid weer in het leven te roepen.

AVG bij de overheid

Ook bij overheidsinstellingen schortte het aan AVG-compliance. Een paar maanden voor de wet in zou gaan, trok de Belastingdienst aan de bel. De fiscus zou niet op tijd voldoen aan maatregelen om aan de AVG te voldoen. Nu, een jaar later, is dat nog steeds niet helemaal het geval. Wel maakte de dienst een eindsprint om redelijk in de buurt te komen. Het zijn vooral de it-systemen die grote organisaties als de Belastingdienst parten spelen. "Sommige systemen zijn gebaseerd op een databasemanagementsysteem dat geen mogelijkheid heeft om records fysiek te verwijderen", schrijft staatssecretaris Snel in een brief aan de Tweede Kamer.

Bedrijven zeggen dat het vooral moeilijk is de ingewikkelde regels van de wet te interpreteren - ondernemers noemen het volgens een onderzoek van Motivaction een 'draak van een wet'. "Het blijkt dat de zeer complexe voorschriften en de vage normen - ook na inspanningen met hulp van branches, het ministerie en de Autoriteit Persoonsgegevens - niet eenvoudig toe te passen zijn", schrijft MKB-Nederland. De organisatie zegt zelfs dat de AVG averechts werkt. "Zo werkt de missie van de toezichthouder om in steeds meer gevallen toestemming te vereisen juist een laconieke houding bij consumenten in de hand. En de verplichting om privacygedragscodes vergezeld te laten gaan van een eigen interne toezichthouder leidt juist tot minder van die codes."

Technologieneutrale wet

Volgens de Autoriteit Persoonsgegevens is het helemaal niet zo moeilijk. De toezichthouder maakte vorig jaar een gratis tool beschikbaar voor bedrijven, www.hulpbijprivacy.nl. "Als bedrijven die volgen, dan kunnen ze er zeker van zijn dat ze compliant zijn", zei Wolfsen toen. De bedrijven zeiden er niet veel aan te hebben, want veel begrippen in de tool zijn niet duidelijk. Wanneer is iets bijvoorbeeld een 'gerechtvaardigd belang'?

Aleid Wolfsen zegt dat de AVG juist bewust breed en volgens algemene principes is opgesteld. "Zij is technologieneutraal", noemt hij het. "Als je een nieuw systeem bouwt, moet dat volgens 'privacy by design'. Dat is een heel open begrip dat ondernemers zelf kunnen invullen, waar ze kunnen uitgaan van de specifieke kenmerken van hun onderneming en de gebruikte technieken. Het is allemaal juist bedoeld om ondernemers juist zo goed mogelijk te bedienen, maar ik snap tegelijkertijd wel dat zij daar onzeker van kunnen worden."

Dat erkent ook Martijn van der Veen van Privacy First. Hij denkt dat er op sommige momenten misschien ook wel teveel naar de AP wordt gekeken voor het verlossende antwoord. "De AVG heeft allemaal open normen, je kunt die wet heel ruim interpreteren. Wie zegt bijvoorbeeld wat een 'gerechtvaardigd belang' is, als het gaat om de vraag of je data mag opslaan? Bedrijven nemen die vrijheid heel ruim." Daar komt ook bij dat privacy volgens hem een heel persoonlijk begrip is. "Twee identieke bedrijven kunnen tijdens een incident heel anders benaderd worden omdat ze bijvoorbeeld een andere ict-inrichting hebben."

Geldbesparing

Bedrijven klagen dat de AVG hen veel geld kostVolgens bedrijven of instellingen zoals banken kost het hun handen met geld om te voldoen aan de wet. Dure consultants, workshops, certificaten waarmee je het predicaat 'AVG-proof' aan je muur mag hangen, juristen kunnen er makkelijk duizenden euro's voor vragen. Aleid Wolfsen zegt echter dat de nieuwe privacywet ook juist geld bespaart. "Ondernemers moesten het tot vorig jaar verplicht melden als zij bestanden bewaarden. Dus wij hadden hier kasten vol met meldingen staan. Er is wel eens berekend dat dat voor ondernemers door heel Europa heen 130 miljoen euro per jaar kost. Onder die AVG is die notificatieplicht er niet meer. Bedrijven moeten dat nu zelf bijhouden en zijn daar zelf verantwoordelijk voor."

Voorlichting geven

De taak van de toezichthouder is tweeledig. Naast het uitdelen van boetes geeft de waakhond ook advies. Maar die voorlichtende taak, daar gaat het volgens veel ondernemers nog mis. Belangenorganisaties wijzen naar de AP, die te vaag zou zijn over wat er wel en niet mag, maar daar is Wolfsen het niet mee eens. "Organisaties zoals MKB-Nederland en VNO-NCW kunnen ook de hand in eigen boezem steken en zich afvragen of ze wel tijdig genoeg voorlichting hebben gegeven aan hun leden. Zij worden betaald om hun leden voor te lichten, ook op dit gebied. Dat kun je nu niet alleen op de Tweede Kamer of op ons afschuiven."

Wel geeft hij toe dat de AP zelf vrij laat begonnen is met voorlichting geven. "In aanloop naar mei vorig jaar hebben we er heel bewust voor gekozen om meer aan voorlichting te doen, ook omdat de AVG daar heel nadrukkelijk om vraagt, bijvoorbeeld met een campagne. Daarvoor stonden we bekend als een wat naar binnen gerichte organisatie die voornamelijk achter de schermen met handhaving bezig was. We zagen toen wel dat ondernemers de wet ingewikkeld vonden, en daar hebben we begrip voor. Daarom zijn we onder andere met brancheorganisaties gaan praten en zijn we meer aan voorlichting gaan doen." Vorige week, een jaar ná invoering van de wet, startte de toezichthouder een tweede campagne, genaamd 'Wat betekent de privacywet voor jou', bedoeld voor zowel burgers als MKB'ers.

Onnodige barrières

Vaak wordt de AVG ook onnodig als barrière opgeworpen door bedrijven. Zo klagen ondernemers dat de privacywet hen verhindert om een nationaal frauderegister op te zetten, een landelijke database waarin fraudeurs worden opgenomen. Dat is al lang een wens van de detailhandel, maar volgens belangenorganisaties MKB-Nederland en VNO-NCW is de AVG een obstakel. Eerder klaagde het UWV over dezelfde problemen: de AVG zou hen verhinderen bijstandsfraudeurs aan te kunnen pakken.

Daar is Wolfsen het niet mee eens. "Er wordt wel eens te gemakkelijk gezegd dat de AVG iets tegenhoudt of dat iets niet mag van de AVG. Als wij dan vervolgens doorvragen, komen organisaties er al snel achter dat het gewoon mag wat zij willen, al dan niet met goede waarborgen. Natuurlijk mag een instantie als het UWV tegengaan dat mensen frauderen, natuurlijk mogen zorgverzekeraars dat ook. Ondernemers mogen echt wel intern een frauderegister opzetten, dat is vanzelfsprekend. Maar ze moeten wel zorgvuldig omgaan met de hogere belangen en goed opletten hoe ze dat doen. Is het bijvoorbeeld echt noodzakelijk om persoonsgegevens te verwerken? Wordt er rekening gehouden met de rechten van betrokkenen? De AVG is er op de eerste plaats om de privacy te beschermen, dan kan het zijn dat je daarom iets moet laten. Maar met de juiste waarborgen en beveiliging, en als we als maatschappij iets anders willen, dan kan er in sommige gevallen ook een wettelijke grondslag worden gecreëerd."

Of de AVG nu echt voor elkaar heeft gekregen wat de wet beoogde, is nog lastig te zeggen. "Ja en nee", zegt Jeroen Terstegge. "Alleen als er nu goed gehandhaafd wordt", zegt Bits of Freedom. De kennis rondom de ingewikkelde wet begint heel voorzichtig te groeien, maar dan met name bij grote bedrijven die veel geld beschikbaar hebben om zich voor te bereiden. In de eerste periode dat de AVG actief was, leken het vooral kleine bedrijven te zijn die moeite hadden zich aan de wet te houden. Dat waren bijvoorbeeld scholen of lokale sportverenigingen die ineens sterk twijfelden over of zij bepaalde informatie wel openbaar mochten maken of überhaupt mochten verzamelen. Die worstelen ook nu nog met het 'compliant' worden van de wet, al wordt die soep niet zo heet gegeten als hij wordt opgediend. Ook zij moeten weliswaar aan de wet voldoen, maar de eisen zijn minder streng en ze krijgen wat meer vrijheden.

Waar de meeste experts het in ieder geval wel over eens zijn, is dat er onder burgers meer aandacht en bewustzijn is voor privacy, én van de rechten die ze dan hebben. Van der Veen van Privacy First: "Er waren al eerdere momenten dat privacy belangrijk werd, zoals tijdens de Snowden-onthullingen. Maar met de AVG werd privacy ook echt tastbaar. Organisaties weten beter wat ze moeten doen, en er is een wettelijk kader waardoor duidelijk is wanneer iets een overtreding is."

De AVG als arbowet

Ook bij bedrijven is het kwartje inmiddels wel gevallen, denkt hij. "Die wisten eerst niet dat ze aan zulke regels moesten voldoen, maar ook niet wat de waarde daarvan was. Zie het als arbo-wetgeving: je kunt je afvragen waarom je goede, dure stoelen voor je werknemers moet kopen, totdat je snapt dat slechte stoelen leiden tot ziekteverzuim en minder goede werknemers." Het is deels aan de AVG te danken dat bedrijven nu serieuzer met privacy bezig zijn, ook al moesten ze dat eerder ook al. "Er was gewoon een grote achterstand, alsof die WBP nooit heeft bestaan."

Het gaat de goede kant op, maar de AVG moet wel gehandhaafd wordenOver het algemeen lijkt het dus de goede kant op te gaan met de wet, maar volgens de meeste experts is nu wel het moment aangebroken dat er ook echt iets moet gaan gebeuren. "De AP doet haar werk wel goed, maar ze zijn wel heel reactief", zegt Van der Veen. "In het begin waren ze nog veel met zichzelf bezig, dat merkte je wel. Alles komt een beetje laat, zoals een uitspraak over wat scholen mogen doen met hun examenuitslag. Dat kwam pas toen de examens voorbij waren." Ook David Korteweg van Bits of Freedom denkt dat het moment is aangebroken om handhaving in te zetten. "Je hoeft als toezichthouder echt niet meteen alleen met boetes te gaan strooien, daar moet je nuances in aanbrengen. Maar grote partijen gaan bij zo'n wet al snel de grens opzoeken, daaraan moet je laten zien dat het menens is. Hetzelfde zag je bijvoorbeeld met de mededingingsautoriteit die naar Google kijkt. Dat doen ze misschien niet zo vaak, maar áls ze het doen heeft dat een behoorlijk afschrikwekkend effect. Ik ben dus heel benieuwd waar de AP mee komt. Zeker de hoogte van de sancties is interessant, ik hoor dat ze daarbij rekening houden met de omzet van zo'n partij."

'Liever te streng dan te zachtaardig'

Het lijkt voorlopig dus vooral wachten op boetes en handhaving vanuit de AP. Wolfsen is ervan overtuigd dat de eerste boetes successen worden, en dat die volledig terecht zijn. Hij heeft daarin ook wel wat te bewijzen; de AP werd in 2017 stevig op de vingers getikt door de rechter omdat de toezichthouder weigerde op te treden tegen vermeende privacyschendingen zoals de Arnhemse afvalpas. In korte tijd gebeurde dat drie keer. Wolfsen is vastberaden dat niet nog eens te laten gebeuren. "Dat was een wake-up call en daar hebben we ons op aangepast. Ik hoop dat we de komende jaren juist meer gecorrigeerd worden omdat we te streng zijn dan dat de rechter ons achter de broek moet gaan zitten." Of dat lukt is maar bezien; volgens Wolfsen waren er in het afgelopen jaar zo'n twintig tot dertig burgers die niet tevreden waren met de manier waarop de toezichthouder optrad. Een klein aantal op een totaal van 20.000 klachten, maar toch heeft dit inmiddels al geleid tot een rechtszaak.

De eerste stap van de AVG is inmiddels gezet; er is bewustzijn, en bedrijven beginnen steeds meer te wennen aan de nieuwe status quo. De volgende stap is die van handhaving, en dat is voorlopig nog een oefening in geduld.