Abma Advocaten: Hoe staat het met de AVG?
De inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 veroorzaakte enorme onrust. Ondernemers maakten zich zorgen of zij wel voldeden aan de strenge privacyregels. Verwerkersovereenkomsten werden uitgewisseld en websites werden voorzien van een privacy- en cookieverklaring. Registers van verwerkingsactiviteiten werden braaf opgesteld. Ondernemers wilde graag voorkomen dat aan hem of haar een boete wegens overtreding van de AVG zou worden opgelegd. Die zorg was terecht, een boete kan immers maximaal 20 miljoen euro of 4 % van de wereldwijde jaaromzet bedragen!
We zijn inmiddels bijna drie en een half jaar verder. Wat laat de praktijk zien?
Het privacy-bewustzijn van de Nederlandse bevolking is sterk gegroeid. Kreeg de Autoriteit Persoonsgegevens (AP) in 2018 nog 15.600 klachten binnen over mogelijke misstanden met persoonsgegevens, in 2020 lag dit aantal al op 25.590.
De AP heeft in Nederland in 2019 vier boetes uitgedeeld, voor een totaalbedrag van 2,5 miljoen euro. In 2020 werden er zeven boetes opgelegd, voor een bedrag van in totaal 2 miljoen euro. Wij verwachten dat dit in 2021 weer zal toenemen. Het eerste half jaar zijn er namelijk al flink wat boetes uitgedeeld.
Voor welke overtredingen worden er boetes opgelegd?
Begin 2021 werd aan de Gemeente Enschede een boete van 600.000 euro opgelegd in verband met het tellen van winkelend publiek via wifitracking in de binnenstad van Enschede. Dit systeem was bedoeld om de drukte in de binnenstad te regulieren, maar feitelijk was de gemeente ook in staat om de mensen te volgen. Dit was volgens de AP ongeoorloofd.
Ook het OLVG zag zich geconfronteerd met een forse boete. Aan haar werd een boete opgelegd van 440.000 euro, omdat het ziekenhuis te weinig maatregelen had genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Er was bijvoorbeeld geen tweefactor-authenticatie en onvoldoende controle op wie welk dossier bekeek.
Dit klinkt misschien nog als een ver van uw bed show, maar hoe vaak is het binnen uw bedrijf al wel niet gebeurd dat een e-mail wordt verzonden aan meerdere ontvangers, waarbij de e-mailadressen van alle geadresseerden zichtbaar waren (dus in de cc in plaats van de bcc)? De PVV Overijssel overkwam dit ook en zag zich vervolgens met een boete geconfronteerd. In dit geval speelde ook mee dat de PVV vervolgens het incident niet zelf heeft gemeld bij het AP. Gelet op de draagkracht van PVV is de boete gematigd tot 7.500 euro.
Opvallend is overigens dat de hoogste boete in Nederland tot nu toe is opgelegd aan het BKR. BKR kreeg een boete van 830.000 euro, omdat zij een bedrag in rekening bracht voor mensen die digitaal hun persoonsgegevens willen inzien. Ook konden mensen maar één keer per jaar per post zonder kosten hun gegevens inzien. Het BKR is wel tegen deze beslissing in hoger beroep gegaan.
Welke lessen kunt u hieruit halen?
- Waar gewerkt wordt, worden fouten gemaakt. Is er sprake van een datalek binnen uw organisatie (zoals een mailing met alle adressen in de cc), blijf dan niet stilzitten (in de hoop dat niemand een klacht indient) maar maak zelf gelijk melding van dit datalek bij het AP. Dit kan eenvoudig worden gedaan via datalekken.autoriteitpersoonsgegevens.nl
- Blijf binnen uw onderneming of organisatie actief toezien op de naleving van de privacyregels. Weten de werknemers wat er van hun verwacht wordt? Werken de systemen naar behoren?
- Reageer adequaat en tijdig op verzoeken van uw klanten en/of werknemers, indien zij hun persoonsgegevens willen inzien.
Ik ben mij er van bewust dat de komst van de AVG de nodige administratieve rompslomp voor ondernemers met zich mee brengt. Voor 100 % voldoen aan de regels is ook erg lastig. De grootste winst naar mijn mening is dat we allemaal veel bewuster zijn van het belang om zorgvuldig met persoonsgegevens om te gaan.
Er ligt overigens een wetsvoorstel gereed om een aantal zaken in deze privacywet te wijzigen. Wij houden dit vanzelfsprekend voor u in de gaten!
