Veel organisaties keken er tegenop: de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018. Het zou een belemmering zijn voor de bedrijfsvoering van veel van deze organisaties, omdat het strengere regels met zich meebracht omtrent de verwerking van persoonsgegevens. En boetes, wanneer deze regels niet zouden worden nageleefd. Inmiddels zijn we twee jaar verder. Wat is het effect geweest en waar staan we nu?

Cuccibu blikt terug met haar consultants Laura, Ron, Raneen en Hannah.

De AVG: Hoe zat het ook alweer?

De Algemene Verordening Gegevensbescherming (AVG) is een verordening vanuit de Europese Unie welke in 2018 in werking is getreden. Deze verordening heeft één set aan regels gebracht voor bescherming van persoonsgegevens binnen de Europese Unie (EU). Dit zorgt voor een betere bescherming van persoonsgegevens binnen de EU en maakt het vrij verkeer van persoonsgegevens gemakkelijker.

Verder heeft de AVG meer mogelijkheden gegeven voor mensen om controle uit te oefenen op de verwerking van hun persoonsgegevens. Ieder land heeft een eigen autoriteit, die verregaande handhavingsbevoegdheden heeft gekregen. In Nederland ligt deze bevoegdheid bij de Autoriteit Persoonsgegevens.

Wat is er de afgelopen 2 jaar bij organisaties gebeurd om de AVG in te voeren?

Veel organisaties zijn begonnen met de basis van de AVG. Denk hierbij aan het opzetten van een register van verwerkingsactiviteiten, het opzetten voor procedure voor onderzoeken en melden van datalekken, een procedure voor de afwikkeling van verzoeken omtrent de rechten van betrokkene en het opstellen/herschrijven van een privacyverklaring.

Daarnaast nemen organisaties privacy aan de voorkant van nieuwe projecten mee, door het uitvoeren van een zogeheten Data Protection Impact Assessments (DPIA’s), een tool waarmee je privacy risico’s en de maatregelen om deze risico’s te beperken in kaart brengt. Ook hebben zij gewerkt aan de bewustwording van eigen medewerkers omtrent privacy en gegevensbescherming.

Toch is er ook nog een aantal bedrijven waar men vrijwel niks heeft gedaan om aan AVG vereisten te voldoen. Soms omdat ze denken dat ze, omdat ze in de B2B sector zitten, geen persoonsgegevens verwerken. Hierbij vergeten ze vaak dat ook hun personeel en de contactpersonen van klanten en leveranciers gewoon mensen zijn, en de AVG dus ook van toepassing is op hun gegevens.

Dat je ‘compliant’ bent, betekent niet automatisch dat je ook aan privacybescherming doet. Hoe zit dat precies?

De AVG is een wet die toeziet op de bescherming van persoonsgegevens. Hoewel dit wel onderdeel is van het recht op privacy – een grondrecht in Nederland en een van de fundamentele rechten in de Europese Unie – gaat het recht op privacy nog veel verder. Denk dan bijvoorbeeld aan privacy in huis, of lichamelijke privacy. Deze vorm van privacy heeft niets met het verwerken van persoonsgegevens te maken. Bijvoorbeeld bij binnenkomst op je werk, al je medewerkers zonder overleg knuffelen is immers geen overtreding van de AVG, maar raakt wel degelijk de privacy van de medewerker.

De AVG is alleen van toepassing op het verwerken van persoonsgegevens. Dus “AVG-compliant” en privacybescherming zijn eigenlijk twee verschillende zaken.

Landen hebben onder de GDPR de bevoegdheid om boetes uit te delen aan bedrijven of instanties die de wet overtreden. In Nederland gebeurt dat door de Autoriteit Persoonsgegevens. Hoe staat het daar nu mee?

De Autoriteit Persoonsgegevens (AP) had even wat tijd nodig om op gang te komen, zeker in verhouding met andere EU-lidstaten. oewel er inmiddels wel enkele boetes zijn uitgedeeld, waaronder twee boetes van meer dan een half miljoen, zijn de gevreesde recordboetes van maximaal 20 miljoen of 4% van jaarlijkse omzet nog niet voor gekomen.

De AP dient zich te houden aan Nederlandse wetgeving met betrekking tot onderzoek en het plegen van hoor en wederhoor. Het was dus niet realistisch om te verwachten dat er meteen op 26 mei 2018 al een boete zou worden uitgedeeld op basis van de AVG.

Daarnaast heeft de Autoriteit Persoonsgegevens te weinig capaciteit. Veel vragen en klachten blijven liggen. Soms bestaat het beeld dat enkel de meest schrijnende zaken, die ook het nieuws uitgebreid halen de aandacht hebben, terwijl er natuurlijk meer gebeurt wat we niet zien.

Heeft de AVG nu echt voor elkaar gekregen wat de wet beoogde?

De AVG heeft in ieder geval een duidelijkere set aan regels gebracht die binnen heel de EU hetzelfde zijn. Dit heeft het gemakkelijker gemaakt om binnen de EU gegevens uit te wisselen. Ook heeft de komst van de AVG veel aandacht gekregen. Daarmee heeft de AVG het bewustzijn over bescherming van persoonsgegevens vergroot en een deel van het beoogde doel bereikt. Zeker bij organisaties die daadwerkelijk aan de slag zijn gegaan met de implementatie van de AVG, door bijvoorbeeld een Privacy Officer in dienst te nemen, daar waar dit een aantal jaar geleden nog niet zo normaal was. Ook misstanden, bijvoorbeeld datalekken, krijgen nu veel meer aandacht in het nieuws.

Maar bij veel organisaties speelt privacy en gegevensbescherming echter (nog steeds) nauwelijks een rol. Wat dat betreft heeft de AVG niets verandert. Tevens zijn er helaas nog afwijkende bepalingen in nationaal recht en zitten er grote verschillen in de capaciteit en kwaliteit van de toezichthouders. Dat zorgt ervoor dat er nog steeds flinke verschillen zitten tussen de regels en de handhaving binnen de verschillende landen.

Veel bedrijven vinden dat de AVG ze beperkt in de bedrijfsvoering. Is dat ook zo?

In veel bedrijven komt het nog voor dat medewerkers de AVG of de privacy medewerkers niet willen betrekken bij hun werkzaamheden, omdat dan toch alleen maar alles tegengehouden zou worden. Echter is er met de komst van de AVG eigenlijk helemaal niet zoveel veranderd. Veel regels golden ook al onder de voorganger van de AVG, de Wet bescherming persoonsgegevens (Wbp). De bewustwording dat deze regels er ook daadwerkelijk zijn, is alleen vergroot en het besef begint langzaam maar zeker te ontstaan dat je hier echt niet meer omheen kan.

De AVG kan ook juist een hulpmiddel zijn, doordat het houvast biedt in wat wel en niet kan. Er kan veel meer dan je denkt, zolang er maar weloverwogen en verantwoorde keuzes worden gemaakt. Daarnaast kan het concreet toepassen van de AVG ervoor zorgen dat er met minder gegevens gewerkt wordt, dit maakt werkprocessen efficiënter en verbetert daarmee juist de bedrijfsvoering.

Voor bedrijven wiens core business afhankelijk is van het zoveel mogelijk gegevens verzamelen over mensen en ze op basis daarvan profileren en aanbiedingen doen, heeft de AVG meer impact.

Zijn er nieuwe ontwikkelingen op het gebied van gegevensbescherming en privacy?

Elke dag. Zowel binnen Nederland, Europa als internationaal. De ontwikkelingen wat betreft gegevensbescherming en privacy staan nooit stil. In Nederland is nog niet alle wet- en regelgeving goed aangesloten op de AVG. Je ziet nu dat veel wet- en regelgeving aangepast wordt om goede grondslagen en waarborgen voor gegevensverwerking te bieden. Tevens ligt momenteel een wetsvoorstel waarmee de Uitvoeringswet AVG aangepast zal worden en zijn we in afwachting van de nieuwe E-privacy directive. Daarnaast worden er wekelijks boetes of waarschuwingen uitgedeeld door de verschillende Europese toezichthouders.

Ook Covid-19 zorgt voor de nodige ontwikkelingen. Denk bijvoorbeeld aan het werken op afstand (en de kritiek op Zoom), of het al dan niet ontwikkeling van Covid-19 track & trace applicatie.

Buiten Europa worden in verschillende landen ook wetten op gebied van privacy en gegevensbescherming aangenomen. Veel van deze wetten hebben overeenkomstigheden met de AVG, maar soms zijn er ook afwijkingen, waardoor nieuwe verplichtingen ontstaan, zoals de ‘do not sell my data’ knop uit de California Consumer Privacy Act. Bedrijven, vooral diegenen die internationaal opereren, doen er dus goed aan om te blijven toetsen of ze nog aan alle eisen voldoen.

Welke uitdagingen liggen er voor de toekomst?

Voor organisaties ligt de uitdaging in het tot de kern van de organisatie laten doordringen van de AVG. Waarbij het toepassen van beginselen zoals privacy by design en noodzakelijkheid, automatismen worden voor de organisatie en diens medewerkers.

Ook zal er komende jaren meer duidelijk moeten worden over de reikwijdte en toepassing van bepaalde artikelen. Er zullen rechtszaken plaatsvinden over de juistheid en hoogte van de door de Autoriteit Persoonsgegevens uitgedeelde boetes.

Tevens ligt een grote uitdaging in het by design toepassen van gegevensbescherming in het kader van technologische ontwikkelingen, zoals kunstmatige intelligentie. Daarnaast is digitalisering door de COVID19 uitbraak in een versnelling geraakt bij veel bedrijven. Hierdoor worden nieuwe processen omgezet van offline naar online en veel remote gewerkt.

Heb je nog tips voor bedrijven m.b.t. de AVG?

Maak serieus werk van de AVG-implementatie. Incorporeer de AVG en de beginselen in de kern van je organisatie. Maak weloverwogen keuzes en zie het belang hiervan in. Voldoen aan de wet is éen ding, maar AVG-compliance heeft ook een zeer positieve impact op het vertrouwen van je klanten, je imago en reputatie.

Realiseer je dat het voldoen aan de AVG, alle bedrijfsprocessen raakt waarbij persoonsgegevens worden verwerkt en het dus een taak is voor alle medewerkers binnen het bedrijf. Zo is goede informatiebeveiliging van belang, alsmede goede data governance (welke data heb ik, waar staat deze data, wie kan daar bij en wie kan deze data wijzigen of verwijderen).

Tot slot

Er is al veel gebeurd op het gebied van implementatie van de AVG. Dit is echter geen eenmalig, maar een voortdurend proces. We zien nog teveel dat organisaties in de afgelopen 2 jaar voldoende zaken hebben afgevinkt, maar niet geborgd hebben in de organisatie. Hierdoor is veel werk ‘op de plank’ komen te liggen. De governance, ofwel het inrichten van de privacy en informatiebeveiligingsorganisatie is cruciaal voor het succesvol zijn van privacybeleid in iedere organisatie.

Hulp nodig?

Heeft u vragen over het toepassen van de AVG en de borging daarvan in uw organisatie? Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.