Een terugblik op de AVG wetgeving

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG is een privacywetgeving die ervoor zorgt dat overal in de Europese Unie (EU) dezelfde regels gelden wat betreft persoonsgegevens. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Toen de AVG in 2018 officieel van toepassing werd vonden veel ondernemers de nieuwe regels te zwaar en de tijd om de regels te implementeren te kort. Waarschijnlijk was het hen even ontgaan dat deze regeling twee jaar eerder al in werking trad, maar er pas in mei 2018 toezicht op zou worden gehouden door de Autoriteit Persoonsgegevens (AP).

In de AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens vastgelegd. Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp), die gebaseerd was op de Europese privacyrichtlijn van 1995. Inderdaad, dat betekent dat we met regels werkten die 9 jaar vóór de oprichting van Facebook opgesteld werden. De overheid liep behoorlijk achter en de AVG kwam in onze ogen dus ook geen moment te vroeg. Goed dat er iets gebeurd!

De wereldwijde economie heeft door de jaren heen nogal wat veranderingen doorgemaakt. Eeuwenlang gold ‘geld is macht’, wat langzaamaan veranderde in ‘kennis is macht’. In de hedendaagse consumptiemaatschappij geldt ‘data is macht’ en is het verzamelen en slim verwerken van data de dagelijkse kost van elke online marketeer.

Afgelopen eeuw speelden veel bedrijven hierop in en met name Facebook werd hier groot mee. Dit leidde dan ook tot de bekende uitspraak dat wanneer je zelf niet betaalt voor een product, jíj het product bent. Internet giganten verdienen miljarden met persoonsgegevens. Ze verkopen de gegevens aan bedrijven die de gegevens gebruiken om hun doelgroep effectiever en eenvoudig te kunnen bereiken. Slim natuurlijk, en zolang goed omgegaan wordt met persoonlijke data is daar ook niks mis mee.

Omdat niemand het fijn zou vinden wanneer privé zaken, zoals een medisch rapport, zomaar op straat zouden komen te liggen is de AVG in het leven geroepen. Deze privacywetgeving zorgt ervoor dat bedrijven verantwoord met persoonsgegevens omgaan, wat betekent dat elke organisatie die persoonsgegevens verwerkt te maken heeft met de AVG. Dit betekent ook dat er bijna geen bedrijf te bedenken is dat níét te maken heeft met de AVG. Mocht je een voorbeeld hebben horen wij het graag :-)

Persoonsgegevens worden in de AVG gedefinieerd als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Simpel gezegd betekent dit alle informatie die ofwel direct over iemand gaat, ofwel naar iemand te herleiden is. De meest voor de hand liggende persoonsgegevens zijn namen, woonplaatsen en e-mail adressen, maar ook telefoonnummers kentekens, pasfoto’s, postcodes en huisnummers vallen hieronder.

Gevoelige informatie wat betreft gezondheid, geloof voorkeuren of ras vallen onder de noemer bijzondere persoonsgegevens. Deze gegevens vallen onder extra bescherming. Zonder wettelijke uitzondering mogen deze bijzondere persoonsgegevens niet verwerkt worden.

Duidelijkheid over de nieuwe regelgeving was ver te zoeken. Iedereen struinde het internet af op zoek naar antwoorden op hun vragen: Wat mag wel en wat mag niet? Is de AVG voor iedereen van toepassing of alleen voor multinationals? Heb ik een functionaris gegevensbescherming nodig? Deze en andere vragen tolden rond in de hoofden van elke ondernemer. Overal waar je keek doken AVG-experts op die kansen zagen in de nieuwe wetgeving. Nouja, experts is misschien een groot woord omdat niemand wist wat nu precies de regels waren, maar ze zullen er goed geld aan verdiend hebben.

Toch was het misschien niet zo’n gek idee om naar de melkboer te luisteren. Het belangrijkste is om je boerenverstand te gebruiken. Je kunt tienduizenden euro’s investeren om je bedrijf door te laten lichten door een AVG-expert, maar de rapporten en de kwaliteit lagen vaak ver uit elkaar.

Gelukkig heeft de AP na een tijdje de “AVG in een notendop uitgebracht”, en korte en bondige uitleg van de wetgeving en wat je als organisatie moest doen. Handig natuurlijk, maar tegenwoordig werken de linkjes niet meer. Daarom hebben wij zelf een checklist opgesteld voor jullie, deze vind je onderaan de blog. De checklist helpt je te toetsen of jouw bedrijf (nog steeds) aan een aantal belangrijke AVG-verplichtingen voldoet.

In 2016 schreven we al over de nieuwe cookiewet → https://niice.nl/blogs/cookiewet/. Toch waren privacy en transparantie nog niet de standaard. Vandaag de dag is dat wel anders. Een website opleveren zonder cookiemelding, privacyverklaring of cookie-overzichten? Gelukkig is dat vandaag de dag eerder een uitzondering dan regelmaat. De AVG heeft ervoor gezorgd dat bedrijven scherp zijn en verstandig omgaan met gevoelige persoonsinformatie.

Door de jaren heen hebben wij veel kritiek gezien op de overheidsorganisaties. Ironisch dat juist de overheid die met de nieuwe regels komt zich niet op tijd weet aan te passen aan diezelfde regels. Juist zij voldeden vaak niet aan de nieuwe richtlijnen.

Op 14 oktober 2020 is de belastingdienst gestart met een campagne om het bewustzijn van de AVG te vergroten onder haar personeel. Iets te laat misschien, aangezien de aanleiding van de campagne een onderzoek naar het fraude bestrijdingssysteem van de belastingdienst was waar het nodige verkeerd mee was gegaan. "De bevindingen uit het onderzoek waren ernstig. Er wordt niet voldaan aan wettelijke vereisten, waaronder de Algemene verordening gegevens (AVG) en noodzakelijke waarborgen rond risico-selectieprocessen en behandeling van fraudesignalen zijn onvoldoende", zo stellen de staatssecretarissen.

Niemand zit te wachten op imagoverlies of een hoge boete voor het niet houden aan de AVG regeling. Zoals bekend zou de AP bedrijven controleren op het al dan niet houden aan de AVG wetgeving, maar is dit ook actief gebeurd de afgelopen drie jaar? We hebben immers maar weinig voorbeelden gehoord van bedrijven die op de bon zijn geslingerd.

Bedrijven die zich niet aan de regels houden riskeren sinds 25 mei 2018 een boete van maximaal 20 miljoen euro of 4% van de jaaromzet. Of er veel gehandhaafd is, is nog onbekend. Tot op heden heeft de AP slecht 5 boetes gepubliceerd.

• Boete Uber voor te laat melden datalek
  600.000 euro (27 november 2018)
• Boete HagaZiekenhuis voor slechte beveiliging patiëntendossiers
  460.000 euro (16 juli 2019)
• Boete KNLTB voor verkoop ledengegevens
  525.000 euro (3 maart 2020)
• Boete bedrijf voor vingerafdrukken personeel
  725.000 euro (30 april 2020)
• Boete BKR voor kosten bij inzage
  830.000 euro (6 juli 2020)

Het precieze aantal van de uitgedeelde boetes is niet bekend.

In de basis is de AVG wet heel eenvoudig: Sla alleen data op als je deze echt nodig hebt en laat het niet rondslingeren. Als we dit iets verder specificeren is het verstandig om de volgende stappen te doorlopen:

1. Stel een functionaris gegevensbescherming aan
   1. Op grond van artikel 37 van de Algemene verordening gegevensbescherming (AVG) is een FG verplicht voor Overheden en publieke organisaties, organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen, als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is of wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt.
   2. Voor veel MKB bedrijven is een FG niet verplicht zoals je ziet. Toch is het raadzaam om iemand aan te stellen. Doe je dit niet, dan voelt niemand zich verantwoordelijk.
2. Maak een overzicht van alle verwerkingen
   1. Inventariseer welke gegevens worden vastgelegd, met welk doel, of er toestemming voor nodig is, wie toegang heeft tot de gegevens, welke veiligheidsprocedures er zijn, en hoelang de gegevens bewaard worden.
3. Controleer of deze gegevens verwerkt mogen worden volgens de AVG wetgeving. Dit mag op basis van de volgende grondslagen
   1. Na expliciete toestemming van de gebruiker
   2. Vitale belangen
   3. Wettelijke verplichting
   4. Overeenkomst
   5. Algemeen belang
   6. Gerechtvaardigd belang
4. Schoon op
   1. Verwijder data die je niet gebruikt of niet rechtvaardig hebt verkregen. Verwijder oude lijsten.
   2. Privacy by design: vraag niet meer data dan nodig. Vraag niet om de adresgegevens als je deze data niet nodig hebt.
5. Sluit verwerkers overeenkomsten af met partners die persoonsgegevens in opdracht van jouw bedrijf verwerken.
   1. Denk hierbij ook aan je digitale partner (Niice, bijvoorbeeld), nieuwsbrief systemen die je gebruikt, de accountant, enz.
6. Controleer je beveiling
   1. Zorg ervoor dat je website en/of webshop altijd up-to-date is. Sluit een onderhoudscontract af met je online partner. Controleer of je een SSL verbinding hebt, of jouw mailtjes encrypted zijn, enz.
   2. Voorkomen is beter dan genezen, maar dat betekent niet dat je niet voorbereid moet zijn op een eventueel datalek. Één verkeerd mailtje kan hier al de oorzaak van zijn. Wanneer een beveiligingsincident zich heeft voorgedaan, moet dit direct gemeld worden bij de AP en goed gedocumenteerd worden.
   3. Neem een Impact assessment af. In sommige gevallen kun je verplicht zijn om een data protection impact assessment (DPIA) uit te voeren voordat je mag starten met de verwerking.
7. Stel een privacyverklaring op
   1. Recht om in te zien
   2. Recht om te wijzigen
   3. Recht om vergeten te worden
   4. Recht om gegevens over te dragen
   5. Recht op informatie
8. Stel een cookie-overzicht op
9. Zorg voor een cookiemelding

En tot slot: blijf controleren.

Een AVG is niet iets dat je eenmalig inricht, het is een doorlopend proces. Zorg er daarom voor dat het geregeld op de agenda staat zodat het extra aandacht krijgt:

• Houd het dossier up-to-date en controleer alles periodiek
• Zorg ervoor dat nieuwe medewerkers privacybewust zijn.

De AVG en alles eromheen klinkt wellicht als veel geregeld voor de overheid, maar volgens ons moet je er zo niet naar kijken. Een AVG doe je voor jezelf, voor jouw bedrijf en voor je klanten. Jij wilt toch ook niet dat jouw bedrijf gezien wordt als een organisatie die onzorgvuldig met klantdata omgaat?! Een ongeluk zit in een klein hoekje, ook bij jouw bedrijf kan een datalek ontstaan. Wanneer je zorgt dat je je best hebt gedaan zorgvuldig met data om te gaan, sta je altijd sterker en beperk je mogelijke imagoschade.

Ben je werkzaam binnen de datahandel of bestaat een link tussen jouw werkzaamheden en de digitale overheid, artificiële intelligentie en algoritmes? Maak dan je borst maar nat. De AP heeft aangekondigd hier de komende jaren, van 2020 t/m 2023, de nadruk op te leggen.

De AP vindt extra aandacht op dit gebied nodig om de veiligheid van persoonsgegevens in Nederland te waarborgen. Misbruik of onverantwoordelijk gebruik van persoonsgegevens kan in hun ogen leiden tot foutieve beslissingen, uitsluiting van mensen en discriminatie.

Het ziet ernaar uit dat binnenkort in Nederland ons goede gedrag beloond gaat worden met een AVG-certificaat. Hiermee kun je laten zien dat jouw product, proces of dienst helemaal AVG-proof is, en aantonen dat je aan bepaalde eisen voldoet volgens de regels van de Algemene Verordening Gegevensbescherming (AVG). Wie dit wil moet helaas nog even wachten. Op dit moment zijn er nog geen geaccrediteerde certificatie-instellingen in Nederland. De RvA heeft aangegeven meer informatie op hun website te plaatsen zodra er een certificatie-instellingen is geaccrediteerd. Nog even geduld dus...