Dag van de Privacy: Waar staat u met betrekking tot de AVG?

28 jan 2019

Op 28 januari is het de internationale dag van de privacy. Een jaarlijks terugkerende dag om bewustzijn te creëren bij bedrijven en consumenten over het belang van privacy en persoonlijke informatie.

28 januari is de Internationale Dag van de Privacy. Een jaarlijks terugkerende dag om bewustzijn te creëren bij bedrijven en consumenten over het belang van privacy en persoonlijke informatie. Daarnaast heeft het als doel om consumenten te informeren over hun rechten met betrekking tot gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Ook is het 8 maanden na invoering van de Algemene verordening gegevensbescherming. Een mooie gelegenheid voor ons om terug te blikken en de huidige stand van zaken op te maken.

In onze blog ‘Wat kunnen we in 2019 verwachten op het gebied van security awareness‘ gaven we al aan dat het naleven van de AVG in 2019 pas echt gaat beginnen. De inwerkingtreding heeft voor de nodige opschudding gezorgd, maar verliep redelijk pijnloos. Bedrijven, organisaties en overheden hechten groot belang aan de AVG en het staat hoog op de agenda, maar het gaat nog wel vaak mis.

AVG compliance

Organisaties worstelen nog altijd met het naleven van de AVG, maar het belang van het naleven van de wet is hen duidelijk. Het verwerkingsregister is opgezet, verwerkersovereenkomsten zijn gesloten en privacyverklaringen zijn herschreven. Veel organisaties denken dat ze daarmee klaar zijn, maar het is slechts het begin. Dit blijkt ook uit het feit dat bijna 25% van de Nederlandse werknemers nog geen AVG-beleid heeft ontvangen. De AVG stelt bedrijven verplicht om dit op te stellen als ze willen dat de werknemers met vertrouwelijke gegevens omgaan.

Reden dat bedrijven vandaag de dag nog niet voldoen aan de AVG is tweeledig. Allereerst werd de impact van de nieuwe wet lange tijd onderschat. Een aantal maanden voor de inwerkingtreding hadden veel organisaties nog geen plan. Toen de tijd begon te dringen was het te laat om met een goed antwoord te komen. Men is dus nog steeds bezig met het in gang zetten van processen om te voldoen aan de AVG. Dit geldt niet alleen voor mkb organisaties, maar ook voor grote overheidsorgansaties zoals de Belastingdienst.

Datalekken

2018 stond bol van incidenten. In de eerste helft van 2018 werden er al bijna 9.000 meldingen gedaan van datalekken. In de meeste gevallen (64%) ging het om het versturen van persoonsgegevens naar de verkeerde ontvanger. Veel meldingen blijken in de praktijk overigens loos alarm, maar in dit geval geldt over het algemeen ‘better safe than sorry’. Ook in de tweede helft van jaar vonden er veel grote incidenten plaats, bijvoorbeeld grote datalekken bij RTL en Marktplaats.

Boetes

Tot nu toe heeft de AP voornamelijk waarschuwingen uitgedeeld. In Nederland zijn er daarom onder de AVG nog geen boetes uitgedeeld. Wel zijn er dwangsommen opgelegd aan diverse organisaties. Europees gezien zijn er wel boetes uitgedeeld. Een Duits chatplatform kreeg namelijk een boete opgelegd van €20.000. De chatdienst had wachtwoorden van gebruikers in platte tekst opgeslagen en dat is in strijd met de AVG.

Nu de eerste boetes onder de AVG zijn uitgedeeld zal het niet lang meer duren dat ook Nederlandse bedrijven zullen worden beboet voor het overtreden van de AVG. De Autoriteit Persoonsgegevens heeft wel een aantal onderzoeken lopen, onder andere naar de KNLTB. De bond verkocht namelijk persoonsgegevens van leden door aan haar sponsors.

Positieve impact

De AVG heeft vooral bij bedrijven voor bewustwording gezorgd. Ze worden gedwongen om bewuster en meer integer met persoonlijke data om te gaan. Daarnaast krijgen consumenten ook een duidelijkere keuze over welke gegevens ze willen delen en welke niet. Uit onderzoek van KPMG blijkt dat maar liefst 98% van de Nederlanders op de hoogte is van AVG. Dit wordt ook bevestigd door het aantal klachten dat de AP heeft ontvangen. Het afgelopen half jaar ontvingen ze ruim 10.000 klachten. In de meeste gevallen gaan over het schenden van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Ook worden er veel klachten ingediend over het uitvragen van meer gegevens dan noodzakelijk. Deze klachten bewijzen wel weer dat lang niet alle organisaties de AVG op een juiste manier naleven.

Negatieve effecten

Een veelgehoord negatief geluid is dat Europa zichzelf door de AVG buitenspel zet in de concurrentie met de rest van de wereld. Europese bedrijven zouden het moeilijk hebben om op de schalen. Is deze kritiek terecht? Volgens PrivacyZone.nl niet. Wereldwijd zijn landen bezig om de AVG te kopiëren. Europa is een te grote afzetmarkt voor bedrijven uit andere werelddelen om niets met de privacywetgeving te doen. Wel zien we dat een aantal buitenlandse organisaties de toegang tot hun online diensten blokkeert voor EU-inwoners, omdat ze niet aan de AVG willen of kunnen voldoen.

Andere kritiek komt vanuit het mkb. De AVG leidt tot extra regeldruk, waardoor sommige diensten niet meer kunnen worden aangeboden. Daarnaast is de AVG een onaangename kostenpost. Bedrijven moeten extra medewerkers inhuren om de nieuwe regelgevingen in goede banen te leiden.

Goed voorbeeld doet goed volgen

Europa heeft een trend gezet in de rest van de wereld. Zo creëren de VS momenteel de Consumer Privacy Act en hebben andere landen in Noord- en Zuid-Amerika en Azië wetgevingen die op de AVG lijken. Denk aan landen zoals Canada, Argentinië, Brazilië, Mexico, Japan en Australië.

Waar staat u?

Waar staat uw organisatie met betrekking tot de AVG? Heeft u de processen op een juiste manier ingericht? En zijn uw medewerkers op de hoogte? Wij merken nog altijd dat het voor veel medewerkers onduidelijk is hoe ver de AVG reikt en wat de invloed van de wetgeving is op hun dagelijkse werkzaamheden. De AVG is namelijk niet alleen een taak van de beleidsmakers of ICT, maar iedereen krijgt er mee te maken. Om bewustzijn bij medewerkers te creëren over de wet en het werken met persoonsgegevens heeft NextTech een 15 minuten durende online training ontwikkeld. Deze is onderdeel van ons online trainingsprogramma over informatiebeveiliging, privacy en cyber security.

Terug naar het overzicht