Op 25 mei 2018 trad de AVG in werking. Door veel verplichtingen, complexe juridische taal en gebrek aan praktische voorbeelden, hadden veel organisaties moeite om door de bomen het bos te zien en AVG-compliant te worden. In de volksmond werd de AVG daarom ook wel het “hoofdpijndossier” genoemd. Is deze ervaring drie jaar later veranderd?
Het eerste jaar na de invoering van de AVG besloot de Nederlandse privacy toezichthouder, de Autoriteit Persoonsgegevens (AP), om prioriteit te geven aan het ondernemen van voorlichtingsactiviteiten. Zij werd toen door 27.000 mensen telefonisch benaderd om de AVG te verduidelijken. Desondanks, bleef de AVG een jaar na haar inwerkingtreding voor veel organisaties nog een hoofdpijndossier. Dit blijkt uit de brief van minister Dekker voor Rechtsbescherming aan de Tweede Kamer, waarin hij aangaf dat er over de uitleg van de AVG nog veel onduidelijkheid bestaat en organisaties de behoefte hebben om te weten of zij de AVG goed naleven. Toch kondigde de AP aan om in 2019 meer uit haar voorlichtende rol te stappen en haar pijlen te richten op handhaving. Vergeleken met toezichthouders van andere EU-landen (bijvoorbeeld Duitsland en Frankrijk), die meteen actief waren met het opleggen van forse boetes, bleven de gevreesde boetes van de AP in het eerste jaar van de AVG namelijk nog achterwege.
Is het de AP gelukt om de nadruk te leggen op handhaving?
De AP heeft zich aan haar voornemen gehouden om meer nadruk te leggen op handhaving. Zo had de toezichthouder, eind 2019, zeven corrigerende maatregelen en vier boetes aan verschillende organisaties opgelegd (zie figuur 1). Van juli 2020 tot op heden, heeft de AP grotere sprongen gemaakt en zeven boetes opgelegd (zie figuur 2).
Figuur 1. Boetes Autoriteit Persoonsgegevens in 2019
Figuur 2. Boetes Autoriteit Persoonsgegevens 2020 tot heden
Klachten en datalekmeldingen
De AP kan op basis van klachten en datalekmeldingen nader onderzoek naar AVG-compliance verrichten en eventueel overgaan tot het opleggen van boetes. De komst van de AVG, heeft het aantal klachten fors doen toenemen. De afgelopen drie jaar, gingen de meeste klachten over organisaties binnen de zakelijke dienstverlening die afkomstig waren van (anonieme) burgers die de AP wilden informeren over een mogelijke privacyschending betreffende hun eigen persoonsgegevens of van derden.
Ook het aantal datalekmeldingen is de afgelopen drie jaar niet gering gebleven. Aangezien organisaties steeds meer persoonsgegevens verwerken zijn zij namelijk vaak het doelwit van cybercriminelen geworden. De meldingen komen van organisaties uit verschillende sectoren (van onderwijs tot de financiële dienstverlening) en bepaalde datalekken kregen uitgebreide aandacht in de media. In december 2019, werd de spraakmakende cyberhack bij de Universiteit Maastricht bijvoorbeeld op de voet gevolgd.
Figuur 3. Cijfers, afkomstig uit de jaarverslagen 2018 en 2019
Het blijkt dat er in 2020 een daling in het aantal klachten en datalekmeldingen is ten opzichte van 2019 (zie figuur 3). Volgens de AP komt de daling in klachten doordat haar telefonisch spreekuur minder lang open kon zijn vanwege capaciteitsproblemen. De daling in datalekmeldingen komt onder andere doordat incassobureau’s minder datalekken hebben gemeld. Door een aangepaste werkzwijze hebben zij namelijk minder betalingsherrineringen naar verkeerde ontvangers gestuurd.
Hoewel het jaar 2021 nog niet voorbij is, verwachten wij dat het aantal klachten eind 2021 gestegen zal zijn. Juist tijdens de COVID-19 pandemie is gebleken dat de privacy van burgers onder druk kan staan. Zo brachten de nieuwe ontwikkelingen en toename van thuiswerken, videobellen, en surveillance software, verscheidene privacyvraagstukken met zich mee. Ook verwachten wij dat het aantal datalekken dan toegenomen zal zijn. In januari 2021 zijn al twee grote datalekken aan het licht gekomen. De GGD had met een datalek te maken waarbij de persoonsgegevens van duizend Nederlanders gestolen en verhandeld werden. In dezelfde maand was er ook sprake van een datalek bij het commerciële coronatestbedrijf U-Diagnostics waardoor er gevoelige persoonsgegevens van 10.000 mensen konden worden ingezien.
Wat betekent dit?
Sinds de inwerkingtreding van de AVG, zijn zowel het aantal datalekmeldingen als privacyklachten significant gestegen. De datalekcijfers kunnen erop wijzen dat interne procedures van organisaties niet helemaal op orde zijn. Zoals de AP opmerkte, hadden incassobureaus namelijk minder datalekken, nadat zij stappen hadden genomen om de datalekken te beperken. Indien organisaties hierin nalatig zijn en er datalekken optreden die makkelijk voorkomen konden worden, leven zij de AVG onvoldoende na. In dat geval kunnen er boetes volgen.
De verdubbeling in het aantal klachten doet vermoeden dat burgers organisaties steeds meer beginnen te wantrouwen en er zeker van willen zijn dat zij zorgvuldig met hun persoonsgevens omgaan. Deze aanname wordt bevestigd door een onderzoek van de AP in 2019 waaruit bleek dat 94% van de Nederlands zich zorgen maakte over de bescherming van zijn of haar persoonsgegevens. De toegenomen media-aandacht voor privacy en datalekken kan op deze constatering van invloed zijn geweest.
Naast een toenemend aantal privacyklachten en datalekken, is het aantal privacy rechtszaken ook toegenomen. Gezien het bestaande wantrouwen van burgers jegens organisaties en de interpretatievrijheid die de AVG biedt, is dit daarom ook niet verassend. Zo waren er van mei 2018 tot en met mei 2020 meer dan 300 AVG-gerelateerde rechterlijke uitspraken op rechtspraak.nl gepubliceerd.
Te complexe wetgeving?
In deze uitspraken stonden verscheidene AVG-onderwerpen centraal, zoals de definitie van het begrip “persoonsgegevens”, de rechtmatigheid van gegevensverwerkingen, rechten van betrokkenen, uitzonderingen en aansprakelijkheid. Ook werd duidelijk hoe complex het interpreteren van de AVG wel niet is, aangezien zelfs rechtbanken soms worstelden met de uitleg van bepaalde AVG-begrippen. Een vonnis van de rechtbank Noord-Holland, waarin deze zichzelf aanmerkte als verwerker leidde bijvoorbeeld tot verbazing onder privacy experts. Uit artikel 55 lid 3 van de AVG blijkt namelijk dat rechtbanken een bijzonder soort verwerkingsverantwoordelijke zijn. Het ligt in de lijn der verwachting dat deze en andere dubieuze uitspraken van lagere rechtbanken in hoger beroep overruled zullen worden. Hierdoor zullen lastige concepten op een uniforme wijze uitgelegd worden. In de praktijk komt het namelijk nog vaak voor dat de begrippen verkeerd geïnterpreteerd worden wat tot non-compliance van de AVG kan leiden.
De AP: hoe verder?
Het bovenstaande overzicht laat zien dat de rol van de AP in de afgelopen drie jaar verschoven is. Terwijl zij het in het eerste jaar van de AVG noodzakelijk achtte om in de rol van voorlichter te kruipen, is de AP tegenwoordig helemaal in haar element in de rol van handhavende autoriteit. Ondanks haar capaciteitsproblemen, is zij in staat geweest om de minimale middelen te benutten, met als resultaat: twaalf boetes en negen corrigerende maatregelen.
Met het oog op de huidige ontwikkelingen in onze digitale samenleving, is het wenselijk dat de AP meer middelen krijgt zodat zij haar handhavende rol optimaal kan vervullen. De komende tijd zijn er namelijk nog meer gegevensverwerkende innovaties op komst die gepaard gaan met grotere privacyrisico’s (bijvoorbeeld het Europese Coronapaspoort). Door zichtbare handhavingsactiviteiten worden organisaties gestimuleerd om hun privacyvolwassenheid naar een hoger niveau te tillen. Hierdoor zou het probleem van datalekken, dat steeds vaker zal voorkomen, sneller aangepakt of zelfs voorkomen kunnen worden.
Het bovenstaande betekent voor organisaties dat zij erop voorbereid moeten zijn dat zowel burgers als de AP hoge verwachtingen van hen hebben. Enkel een privacybeleid op papier hebben, betekent nog geen AVG-compliance en dit kan een forse boete tot gevolg hebben. De AVG vergt continue inspanningen en wordt vaak nog steeds niet op een uniforme wijze geïnterpreteerd. Na drie jaar, wordt zij daarom nog steeds beschouwd als een hoofdpijndossier.
Over Riesa
Riesa van Doorn is adviseur privacy, security & datamanagement bij CRANIUM Nederland. Ze heeft een LLM behaald in het Informatierecht en een MSc in Public Policy and Human Development (cum laude). Ze is zeer geïnteresseerd in de privacy aspecten van nieuwe technologieën. Zo onderzocht ze voor haar masterscriptie hoe ontwikkelaars van intelligente robots aan het Privacy by Design principe kunnen voldoen. Riesa is voor diverse organisaties het aanspreekpunt voor privacy vraagstukken.
Wilt u ook een duidelijk beeld en actieplan om met uw organisatie te komen tot de naleving van de huidige privacywetgeving? Klik hier voor meer informatie of neem contact met ons op.