Een jaar AVG; een update

Een jaar AVG; een update

De Algemene Verordening Gegevensbescherming (AVG of ook wel GDPR in het Engels) is morgen precies één jaar van kracht. Rondom de inwerkingtreding van deze Europese wetgeving was veel te doen. Was dit terecht? Hoe kijken we nu aan tegen de AVG en wat zijn de belangrijkste aandachtspunten? In dit blog praat ik je kort bij.

Vanuit mijn eigen praktijk merk ik dat de meeste bedrijven zich in ieder geval in enige mate bezig hebben gehouden met privacy. De AVG heeft dus gezorgd voor meer bewustzijn ten aanzien van privacy, een goede ontwikkeling wat mij betreft. De wijze waarop de AVG precies moet worden uitgevoerd, blijkt echter voor veel bedrijven een groot vraagteken.

Ondanks dat de tekst van de AVG inmiddels drie jaar bekend is, bestaan er nog steeds veel onduidelijkheden. Open normen zoals “proportioneel” en “passend” zijn voer voor discussie. Online gaan de wildste verhalen rond, over hoe streng de verplichtingen in de AVG moeten worden toegepast. Als je de tekst van de AVG op de letter wil volgen, word je er vermoedelijk inderdaad zó druk mee dat je weinig tijd overhoudt om te ondernemen. Ik kan me dus voorstellen dat de moed bij sommige bedrijven in de schoenen zakt. Dit kan natuurlijk niet de bedoeling zijn, en is ook echt niet nodig.

Wetgeving is één, maar deze moet ook gehandhaafd worden. In Nederland kennen we daarom de Autoriteit Persoonsgegevens (AP). Zij heeft er nogal wat werk bijgekregen in de aanloop naar en na inwerkingtreding van de AVG. Het aantal medewerkers in dienst bij de AP is dan ook in twee jaar meer dan verdubbeld (van 75 fte begin 2017, naar 157 fte eind 2018). En deze stijging zet zich nog wel even voort.

Maar hoe streng handhaaft de AP nu eigenlijk? Uit het jaarverslag van de AP blijkt dat zij ruim 11.000 klachten en ca. 21.000 meldingen van een datalek heeft ontvangen. Daarvan werden 720 klachten en 298 datalekken afgedaan met een “interventie”, zijnde een brief van of gesprek met de AP waarin de privacyregels nog eens nader werden toegelicht. Slechts 16 onderzoeken werden afgerond, en 17 handhavingstrajecten werden opgestart. Daarbij werden in een paar gevallen boetes uitgedeeld, waaronder aan de Belastingdienst en het UWV. De AP spreekt zelf van “risicogericht toezicht”; het toezicht richt zich (vanwege beperkte middelen) met name op sectoren en onderwerpen waar zich de grootste risico’s voordoen. Voor 2018 en 2019 zijn dit met name overheid, zorg, handel in persoonsgegevens en datalekken. Waarbij de focus in 2019 wat meer zal verschuiven van voorlichting naar daadwerkelijke handhaving.

Het lijkt er vooralsnog dus op dat er ook in de grootste risicosectoren nog genoeg misgaat en de AP haar handen daaraan vol heeft. Als zelfs overheidsinstanties zoals de Belastingdienst en het UWV zich niet aan de regels houden, wat mag de overheid dan van het midden- en kleinbedrijf verwachten?

Ik adviseer (MKB-)bedrijven dan ook om zich vooral te richten op de principes waarop de AVG gebaseerd is. En daarbij hoeft het MKB echt niet het braafste jongetje van de klas te zijn. Wees je als ondernemer bewust van het feit dat je persoonsgegevens verwerkt, ga daar zorgvuldig mee om (op een manier die past bij jouw bedrijfsvoering) en zorg dat je dat ook kunt laten zien. Dan is het voornaamste doel van de AVG al bereikt en is het risico op een boete van de AP (in ieder geval vooralsnog) minimaal. Bovendien voorkom je dat je (onnodig) de moed verliest. Heb je vragen op het gebied van privacy/AVG, bel of mail dan gerust! Ik ben bereikbaar via telefoonnummer 0544-39 33 33 of per e-mail s.freriks@bonsenreuling.nl.

Auteur

Sanne Freriks

Senior jurist BonsenReuling
Als jurist bij BonsenReuling houd ik mij, naast de algemene MKB-adviespraktijk, graag bezig met juridische vraagstukken op het gebied van online ondernemen. Dit varieert van vraagstukken inzake privacyrecht tot vraagstukken met betrekking tot intellectueel eigendomsrecht, telecommunicatierecht en algemeen contractenrecht. Ik streef ernaar ondernemers op een praktische manier juridisch te ontzorgen, zodat zij zich zo veel mogelijk kunnen bezighouden met waar ze goed in zijn.

Daarnaast maak ik deel uit van het kernteam van juristenindezorg.nl, met welk team we zorginstellingen ontzorgen op het gebied van HR en P&O. Dit doen we op onze eigen praktische wijze, met kennis van zowel juridische, fiscale, bedrijfseconomische als pensioentechnische aspecten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *