De AVG tot nu toe: vier maanden en duizenden euro’s aan dwangsommen verder

Door: Edwin Aerts - 25 september 2018

De Algemene Verordening Gegevensbescherming (AVG, oftewel GDPR) is inmiddels precies vier maanden van toepassing. Tijd om de balans op te maken. Loopt het al storm met handhavingsacties, of valt het allemaal nog wel mee?

(Nog) geen boetes......

Wat boetes betreft, is het nog erg rustig. Wellicht is het ook simpelweg nog te vroeg voor dit middel. De nationale toezichthouders zijn nog aan het ontdekken hoe ze om willen/moeten gaan met de vergaande handhavingsmogelijkheden uit de AVG. Het ultimum remedium van het opleggen van een torenhoge boete is daarbij niet de eerste maatregel waar men naar grijpt. Gelukkig maar.

In Nederland is het budget van de toezichthouder, de Autoriteit Persoonsgegevens (AP), nagenoeg verdubbeld; de AP wint aan slagkracht. De eerste tekenen hiervan hebben we de voorbije maanden al gezien. Ik noem een paar voorbeelden: Nagenoeg meteen na 25 mei 2018 begon de AP met het controleren of overheidsinstanties een Functionaris voor de Gegevensbescherming hebben aangesteld. Een soortgelijke controle is onlangs uitgevoerd bij ziekenhuizen en zorgverzekeraars. Eind juni jl. berichtte de AP dat er al 600 privacyklachten waren binnengekomen sinds 25 mei 2018. In juli 2018 voelde Facebook zich genoodzaakt haar privacybeleid aan te passen onder druk van de AP. Tevens werd in juli de Belastingdienst op de vingers getikt omdat zij burgerservicenummers in strijd met de wet verwerkte.

.....maar wel dwangsommen

Begin augustus 2018 kwam de eerste grote klapper vanuit de AP: op 9 augustus jl. liet de AP namelijk weten € 48.000,- aan dwangsommen te hebben geïncasseerd bij Theodoor Gilissen Bankiers (thans InsingerGillissen Bankiers). De reden hiervoor was dat TGB, ook na herhaald verzoek, geen gehoor gaf aan een verzoek om inzage in de persoonsgegevens van een klant.

Een forse maatregel en bovendien niet opgelegd aan een gigant zoals Google of Facebook, maar aan een in verhouding kleine private bank. De indruk lijkt dan ook niet terecht dat alleen grote, corporate ondernemingen te maken zullen krijgen met handhaving.

Vorige week, 20 september jl., kwam het bericht over klapper nummer twee. De Nationale Politie heeft € 40.000,- aan dwangsommen moeten aftikken bij de AP. Reden: de politie controleert volgens de AP onvoldoende wie bepaalde gegevens gebruikt of inziet binnen de organisatie.

Is een dwangsom echt iets anders dan een boete? Ja. Een boete is een tik op de vingers achteraf voor "fout" gedrag. Dwangsommen hebben als doel bestaand "fout" gedrag te corrigeren. Ze gaan gepaard met een opdracht: zorg ervoor dat je binnen een bepaalde termijn je zaakjes op orde hebt, anders lopen de dwangsommen gedurende die termijn verder op.

AP voert onderzoek uit in de private sector

Bij veel organisaties staat de implementatie van de AVG nog steeds in de kinderschoenen. Dat is risicovol. Mocht het misgaan zoals bij Theodoor Gilissen Bankiers en de Politie dan raakt dat niet alleen de portemonnee, maar ook de reputatie van de organisatie. Bovendien lopen bestuur en management het risico persoonlijk aansprakelijk te worden gesteld.

Die risico's zijn goed te beheersen, als je maar aan de slag gaat. Van de ene op de andere dag helemaal compliant zijn, is niet te doen, maar hoeft ook niet. Althans, dat mag je afleiden uit hoe de AP zelf in de wedstrijd zit. De AP is thans namelijk bezig met een steekproefgewijs onderzoek naar naleving van de privacyregels in de private sector. Hierbij worden 30 willekeurig geselecteerde ondernemingen uit 10 sectoren onderzocht, waaronder horeca, bouw, handel, metaal en zakelijke dienstverlening. Specifiek wordt onderzocht of de bedrijven een register van verwerkingsactiviteiten bijhouden. Zo ja, dan beschouwt de AP dat als een goede eerste stap. Met andere woorden: dan is de kou in ieder geval even uit de lucht en zal je waarschijnlijk de kans (lees: een termijn) krijgen om orde op zaken te stellen qua privacy.

Begin bij de basis: het register van verwerkingsactiviteiten

De opstelling van de AP sluit aan bij het advies dat ik altijd geef aan organisaties die nog helemaal "met de AVG moeten beginnen": start met het aanleggen van een register van verwerkingsactiviteiten. Hiervoor zijn twee redenen:

  • Ten eerste is een verwerkingsregister gewoon wettelijk verplicht voor iedere organisatie die "niet incidenteel" persoonsgegevens verwerkt (lees: ieder bedrijf met bijvoorbeeld een klantenbestand en/of personeelsadministratie, de facto dus: ieder bedrijf).

  • Ten tweede geeft het aanleggen van het verwerkingsregister veel inzicht in de gegevensstromen naar, binnen en vanuit de organisatie. Daardoor wordt snel duidelijk waar de "red flags" zitten op privacygebied. Verwerkingen zonder duidelijk doel, ondermaatse beveiligingsmaatregelen, verwerkers waarmee geen overeenkomst is, betrokkenen die niet worden geïnformeerd: als het goed is, komt het allemaal aan het licht en is het vervolgens nog slechts een kwestie van gaten dichten.

Beginnen met het register van verwerkingsactiviteiten is dus een goed idee. Maar daarmee ben je er uiteraard nog niet. Als je organisatie qua privacy de plank echt misslaat, kan je dat duur komen te staan. Het lijkt er op dat het middel van de last onder dwangsom dan (voorlopig) favoriet is bij de nationale privacywaakhond.

Neem voor meer informatie contact op met: