Eén jaar privacywetgeving, is er veel veranderd?

Koen Konings
Koen Konings © RTV Noord
De nieuwe privacywet is precies een jaar oud. Bedrijven en organisaties die zich niet aan de aangescherpte regels zouden houden konden rekenen op torenhoge boetes.
NoordZaken-Expert, advocaat en privacyspecialist Koen Konings blikt terug op één jaar AVG, wat staat voor Algemene Verordening Gegevensbescherming.

Door Koen Konings

Eigenlijk is het doelniet zo heel veel veranderd. Het is nog steeds de bedoeling mensen controle te geven over hoe anderen hun persoonsgegevens opslaan en gebruiken. Bedrijven en organisaties dienen daarbij nog steeds erg zorgvuldig te zijn.
Ook geldt nog steeds dat zogeheten 'verwerkersovereenkomsten' verplicht zijn tussen bedrijven die persoonsgegevens uitwisselen. Wel kregen burgers en consumenten een paar nieuwe rechten, zoals het recht om vergeten te worden en het recht op overdraagbaarheid van de gegevens.
Het grote verschil zit in de uitwerking van de regels. Zo moet ieder bedrijf en iedere organisatie nu een transparante en correcte privacy-administratie bijhouden. Daar komt nog bij dat een algemene privacy-administratie niet voldoende is, maar dat ook een zogenoemd 'register voor verwerkingsactiviteiten' moet zijn opgetuigd. Hierin staat onder meer wat de organisatie doet met persoonsgegevens, waarom dat nodig is en hoe dit is beveiligd.

Moeilijke stappen

In het afgelopen jaar hebben veel bedrijven en organisaties de eerste stappen gezet. Alle begin is moeilijk, begrijp ik van mijn cliënten. De grootste uitdaging lijkt te zitten in het krijgen van overzicht van alle verwerkingsactiviteiten. Dat zijn alle handelingen die een organisatie met persoonsgegevens doet. En tsja, waar begin je met het vaststellen van wat de organisatie allemaal doet?
Veel organisaties vonden het handig om te beginnen met de computerprogramma's die ze gebruiken. Vanzelf kom je dan langs persoonsgegevensgebruik als e-mail, het HRM-systeem, het facturatiesysteem enzovoort. Beetje bij beetje kregen de organisaties een beeld van wat ze doen met persoonsgegevens.
De volgende stap was om te bezien of die omgang wel zorgvuldig gebeurt. De privacywetgeving verplicht namelijk het nemen van 'passende technische en organisatorische maatregelen'. Organisaties gaven aan het zeer prettig te vinden houvast te hebben aan een 'modeladministratie'. Dat gaf richting. Wat extra tekst en uitleg in workshops was vaak behulpzaam.

Datalekken

Soms vindt er ondanks beveiligingsmaatregelen toch een inbreuk op de beveiliging plaats: een datalek. Wanneer het lek ernstig is dan moet het worden gemeld aan de Autoriteit Persoonsgegevens (AP). Bij datalekken met ernstige gevolgen moeten ook de betrokkenen zelf ervan op de hoogte worden gesteld.
In totaal ontving de Autoriteit Persoonsgegevens (AP) bijna 21.000 meldingen van vermeende privacyschendingen in 2018. Dat is bijna het dubbele van het aantal in 2017. De zorg, de publieke sector en de financiële sector zijn de zorgenkindjes van de toezichthouder en zij vormen dan ook steevast de top drie van sectoren waarin de meeste datalekken voorkomen.
Een verschil met de oude wetgeving is dat tegenwoordig ook de niet-gemelde datalekken moeten worden geregistreerd. De AP constateerde recentelijk dat in slechts zes van de tien gevallen het register compleet was.
Opvallend uit mijn praktijk was dat sommige organisaties de neiging leken te hebben om iets 'te snel' of 'te veel' te willen melden. Maar soms bleek bij nader inzien de ernst van het datalek zeer beperkt te zijn. Melden kon in die gevallen achterwege blijven. Organisaties doen er dus goed aan dit eerst juridisch te toetsen. Wie wil er nou slapende honden wakker maken?

Handhaven en boetes

De AP is de nieuwe regels actief gaan handhaven. Allereerst heeft zij ruim 400 overheidsorganisaties gecontroleerd op de aanmelding van hun verplichte Functionaris voor de gegevensbescherming (FG). In oktober 2018 rondde de AP de controle van ziekenhuizen en zorgverzekeraars af op de aanwezigheid van FG's. Daarnaast heeft de AP ook het privacybeleid bij zorginstellingen en politieke partijen gecontroleerd. Ook banken en verzekeraars werden gecheckt.
De toezichthouder heeft actief handhavingsbeleid. Niets doen is dus geen optie
Koen Konings - privacyexpert
Maar ook private organisaties en bedrijven kunnen niet op hun lauweren rusten. De AP startte in juli 2018 met een willekeurige steekproef van dertig grote organisaties uit tien private sectoren. Zo werd onder meer gecontroleerd op de aanwezigheid van het verwerkingenregister. De AP controleert sinds de invoering van de AVG regelmatig of organisaties de privacywetgeving naleven. Voor het MKB is het nog een ver-van-mijn-bed-show. De kans is nog steeds klein dat de AP bij hen op de stoep zal staan.
Dat betekent niet dat het mkb de nieuwe voorschriften maar een beetje op hun beloop kunnen laten. De toezichthouder heeft actief handhavingsbeleid. Niets doen is dus geen optie. Men moet nu eenmaal aan de nieuwe regels voldoen. We hebben nu één jaar ervaring met de AVG en op basis daarvan kan ik alvast wel twee concrete tips geven:
- Controleer de aanwezigheid van de privacy-administratie en het verwerkingenregister: bevatten deze alle verwerkingsactiviteiten van het bedrijf of de organisatie?
- Controleer de aanwezigheid van een register van datalekken: worden ook niet-gemelde inbreuken, de feiten, de gevolgen én de genomen maatregelen geregistreerd?
Koen Konings is IT-advocaat bij NORD te Groningen en initiatiefnemer van Privacy-Administratie.nl.