Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Hoe staan we ervoor na één jaar AVG?

Serieuze handhaving laat op zich wachten

Terugblik

Precies een jaar geleden werden inboxen overdonderd met paniekerige verzoeken van bedrijven. "Mogen we je gegevens alsjeblieft blijven bewaren?" was de grote vraag voor enorme multinationals en kleine webshops. De AVG kwam er namelijk aan, en bijna niemand leek er echt klaar voor te zijn. Hoe is dat nu, ruim een jaar na de invoering?

De AVG: Hoe zat het ook alweer?

De Algemene Verordening Gegevensbescherming vierde vorige week haar eerste verjaardag. Of, iets genuanceerder gezegd, een jaar geleden begon de officiële handhaving van de wet, die eigenlijk al sinds 1 januari 2016 bestaat. Bedrijven konden vanaf dat moment makkelijker boetes krijgen voor het slecht beschermen van de data van hun gebruikers, en diezelfde burgers kregen meer rechten over hoe die gegevens verzameld mochten worden. Dat alles gebeurde onder toeziend oog van de privacywaakhond, de Autoriteit Persoonsgegevens. Het doel: de privacy van Europeanen beter beschermen.

Kort voor de invoering van de wet sloeg de paniek toe. Bedrijven haastten zich in allerijl om gebruikers allerlei toestemmingen te vragen ("Mogen we je nieuwsbrieven blijven sturen?" "Heb je er bezwaar tegen als je in ons klantenbestand blijft staan?") om 'AVG compliant' te worden - juristenspraak voor 'aan de regels voldoen'. Daardoor ontstond veel verwarring. Burgers hadden slechts een vaag idee wat hun rechten nu precies waren en bedrijven vreesden voor torenhoge boetes onder de draconische wet. Na een jaar zou je denken dat die storm een heel eind is gaan liggen, dat de juristen inmiddels de plooien hebben gladgestreken. In plaats daarvan is er nog steeds onduidelijkheid over rechten en plichten, en moet de waakhond zijn tanden nog steeds laten zien.

Niet heel veel veranderingen

Eerst maar eens een korte terugblik; hoe zit het ook alweer met die draconische wetgeving? De AVG is de Nederlandse variant van de GDPR, de General Data Protection Regulation. Dat is een Europese wet waar iedereen die gegevens verwerkt in de EU, zich aan moet houden, dus ook buitenlandse bedrijven die gegevens van Europese gebruikers opslaan. Technisch gezien gaat het om een verordening; dat betekent dat de wet op Europees niveau is geregeld en dat landen er zelf weinig aan kunnen veranderen. Het doel van de wet is om de vele verschillende Europese privacywetten gelijk te trekken. Voorheen had ieder land namelijk zijn eigen privacyregelgevingen waarvan er veel min of meer hetzelfde zeiden, maar die allemaal nét iets anders waren.

Veel regels van de AVG waren in Nederland al van kracht onder de oudere WBPIn Nederland verving de AVG vorig jaar dan ook de WBP, de Wet Bescherming Persoonsgegevens, en gelijk daar zit al de crux. Er is met de AVG namelijk niet zo heel erg veel veranderd ten opzichte van die eerste wet. Het is niet zo dat bedrijven ineens veel minder gegevens mogen opslaan, of dat op een radicaal andere manier moeten doen. Het grote verschil zit vooral in de handhaving. "Onder de WBP kraaide er geen haan naar wat je deed", zegt Martijn van der Veen, jurist bij stichting Privacy First. "Inhoudelijk is er weinig anders ten opzichte van de WBP, maar de AVG spreekt bedrijven en overheden aan op bestuursniveau - er moet meer worden nageleefd." Andere juristen beamen dat. "Mensen denken dat de AVG heel veel nieuwe dingen zegt, maar de meeste regels uit de AVG bestaan al dertig jaar in Nederland", zegt Jeroen Terstegge, partner bij Privacy Management Partners. Hij noemt zaken als het nieuwe inzagerecht - waarbij je bedrijven mag vragen om inzicht in de gegevens die ze van je hebben - en zelfs de beruchte boetes voor het slecht beschermen van de privacy. "Sinds 2016 kon de AP al boetes opleggen."

Als er dan niet zoveel veranderd is, waarom waren al die bedrijven vorig jaar dan zo in rep en roer? Voor een belangrijk deel komt dat doordat die bedrijven nu verplicht zijn aan de eisen te voldoen en dat er ook daadwerkelijk sancties staan op het niet volgen van de wet. Onder de AVG zijn bedrijven die data verwerken, ook wel 'gegevensverwerkers', verplicht een aantal maatregelen door te voeren. Zo moeten zij duidelijk op papier zetten wát voor data zij verzamelen, hoe ze die opslaan, wie er toegang toe heeft, en, niet onbelangrijk, waaróm het die data verzamelt. Ook moeten sommige bedrijven een 'data protection impact assessment' of DPIA doen, een analyse van de privacyrisico's die bij gegevensopslag horen.

Wat volgens Martijn van der Veen van Privacy First ook meespeelt, is dat de eisen rondom die gegevensverwerkingen een stuk serieuzer zijn geworden. "Bedrijven hebben hun privacyverklaringen nagelopen en hebben die concreter gemaakt. Dat moet ook wel, want onder de AVG zijn er veel meer elementen waar zo'n overeenkomst aan moet voldoen ten opzichte van de eerdere wet."

Een ander belangrijk onderdeel van de wet is het aannemen van een FG, een Functionaris Gegevensbescherming. Dat is iemand die binnen de organisatie toezicht houdt op de opslag en de beveiliging van data, een verplichte post voor iedere overheidsinstantie en ieder bedrijf dat op grote schaal burgers volgt, én voor bedrijven die werken met 'bijzondere persoonsgegevens' zoals medische informatie of gegevens over etniciteit of religie. Er zijn nog wat andere rechten, zoals het 'recht op vergetelheid' en het recht op dataportabiliteit.

Beruchte boetes

Naast de nieuwe verplichtingen is een van de belangrijkste dreigingen in de nieuwe wet de boetebevoegdheid. Landen krijgen onder de GDPR de bevoegdheid om boetes uit te delen aan bedrijven of instanties die de wet overtreden. In Nederland gebeurt dat door de Autoriteit Persoonsgegevens, die tijdens de opkomst van de wet nog erg enthousiast was over die bevoegdheden. De waakhond blafte volgens critici vooral, maar bijten, ho maar. "Dat verandert onder de AVG", sprak kersverse voorzitter Aleid Wolfsen een jaar vóór de invoering van de wet nog. "Daarmee krijgen we écht tanden."

De potentiële boetes voor bedrijven zijn hoog: twintig miljoen euro, of maximaal vier procent van de jaaromzet van een bedrijf. Daardoor schoten vooral kleine bedrijven al snel in de kramp. Zouden zij bankroet gaan bij het eerste onvermijdelijke datalek in hun organisatie? Dat lijkt zeker voor de metaforische slager om de hoek een nogal harde klap.

In Nederland zijn er nog geen boetes uitgedeeld voor overtredingen van de AVG. In andere landen gebeurde dat wel, maar slechts mondjesmaat. De Belgische Gegevensbeschermingsautoriteit deelde vorige week de eerste boete uit (van een bescheiden tweeduizend euro), en ook in een handvol andere Europese landen worden hier en daar wat straffen gegeven. De grootste boete tot nu toe is van de Franse privacywaakhond CNIL, die Google bestrafte met 50 miljoen euro voor de onduidelijkheid over gegevensverwerking. Voorzitter Aleid Wolfsen laat opnieuw doorschemeren dat de eerste boetes in Nederland binnenkort echt vallen. "We zitten momenteel in de afrondende fase van verschillende grote onderzoeken", vertelt hij aan Tweakers. "Binnenkort gaan we optreden, en daarvan verwacht ik dat mensen gaan zeggen: 'Dat snap ik wel, het is goed dat de AP daartegen optreedt'."

Aleid Wolfsen is sinds 2016 de voorzitter van de Autoriteit Persoonsgegevens

Het is niet de eerste keer dat de AP dreigt met haar nieuwe boetebevoegdheid. Sterker nog, een jaar geleden was dat hét stokpaardje van de toen nog relatief nieuwe Wolfsen. Daar is Jeroen Terstegge het niet helemaal mee eens. "Onder de WBP kon de AP ook al boetes opleggen, daar hebben ze twee jaar lang geen gebruik van gemaakt. Je moest dan als bedrijf wel 'grof nalatig' zijn in je privacyovertreding, maar ook het niet in huis hebben van een Functionaris Gegevensbescherming kun je in sommige gevallen zo zien, bijvoorbeeld als je met heel gevoelige gegevens werkt. Het probleem was echter dat de AP dan eerst een gele kaart moest uitdelen voor ze met een rode kon komen. Maar als je nu de boetebeleidsregels leest, dan doen ze dat nu ook niet. Ook onder de AVG bewaren ze hun boetebevoegdheid alleen voor nalatigheid, niet voor technische overtredingen."

Voor dat laatste kan de AP naar een 'last onder dwangsom' grijpen, een soort voorwaardelijke boete. Daarvan zijn er al wél een flink aantal opgelegd, en niet aan de minste. Onder andere de politie en het UWV kregen zoiets opgelegd. Wolfsen: "Mensen ervaren zo'n dwangsom ook wel echt als boete. Daarnaast hebben we een verwerkingsverbod opgelegd aan de Belastingdienst en hebben we veel aan voorlichting gedaan. "

Naast handhaving deed de AP ook veel aan controles. Een van de eerste wapenfeiten was een controle op de aanwezigheid van een Functionaris Gegevensbescherming bij onder andere de overheid, banken en verzekeraars, en bij medische instellingen.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True