De alom gevreesde privacywet AVG lijkt negen maanden na invoering vooral meer bewustwording te hebben opgeleverd. En de agitatie is verdwenen.

Scholen en sportclubs die geen groepsfoto’s meer mogen maken, miljardenboetes en het niet durven bewaren van visitekaartjes die je op een congres krijgt. De introductie van de Europese privacywet AVG (Algemene verordening gegevensbescherming) in mei 2018 ging gepaard met de nodige doemscenario’s. Negen maanden na de invoering van de gevreesde wet blijkt het allemaal wel mee te vallen.

‘De angst regeert, aangewakkerd door een legertje van honderden nieuwbakken AVG-consultants’, zegt Jean Paul van Schoonhoven, zelf consultant en functionaris gegevensbescherming voor verschillende bedrijven en oud-medewerker van de Autoriteit Persoonsgegevens (AP). ‘Dan krijg je apothekers die vragen om een kopie van een paspoort als iemand medicijnen voor zijn moeder komt halen.’

In het kort

  • De angst voor de Algemene verordening gegevensbescherming (AVG) blijkt negen maanden na invoering deels onterecht.
  • De vrees is deels aangewakkerd door onervaren adviseurs.
  • Bedrijven en burgers zijn zich sinds de invoering van de AVG bewuster geworden van privacy.
  • De toezichthouder heeft nog geen boetes uitgedeeld. Experts verwachten wel dat die gaan komen.

Bewustwording

De AVG heeft volgens Van Schoonhoven bedrijven bewust gemaakt van de risico’s van het bewaren van grote hoeveelheden data. En bewustwording gaat vaak gepaard met nervositeit: ‘Als mensen eenmaal snappen wat de bedoeling is, slaan ze vaak door. Als ze bijvoorbeeld een visitekaartje ontvangen op een congres, gaan ze hun privacyfunctionaris vragen of ze die wel mogen bewaren’, aldus Van Schoonhoven.

Dat erkent ook de Autoriteit Persoonsgegevens, die toezicht houdt op naleving van de privacywetgeving. Woordvoerder Martijn Pols: ‘Bedrijven zijn zich veel bewuster van privacy: dat is winst. Maar het komt ook voor dat ze doorslaan in het naleven van de privacyregels. Te streng hoeft ook niet. Die regels zijn er in eerste instantie om iets te beschermen, en in de praktijk moet dat zo geregeld zijn dat het normale zaken niet in de weg staat.’

Datasystemen inrichten

De AVG is overigens niet heel anders dan de Wet Bescherming Persoonsgegevens (WBP), die al in 2001 werd ingesteld. Het verschil is dat privacy nu hoger op de (politieke) agenda staat. De wet verbiedt bijna niks, zegt Van Schoonhoven, maar zegt in veel gevallen gewoon hoe je datasystemen moet inrichten.

Dat beaamt Gerrit-Jan Zwenne, advocaat bij Pels Rijcken en hoogleraar Recht en Informatiemaatschappij aan de Universiteit Leiden. ‘Het enige wat echt nieuw is, is het recht op dataportabiliteit.’ Dat betekent grofweg dat de burger ervoor moet kunnen kiezen gegevens over te dragen van de ene naar de andere partij. Ook nieuw is de de plicht van de overheid om bij nieuwe wetgeving onderzoek te verrichten naar de effecten ervan op de gegevensbescherming van burgers: de gegevensbeschermingseffectbeoordeling.

Belangrijkste regels uit de AVG

  • Recht op inzage van persoonlijke gegevens
  • Recht op correctie van persoonlijke data
  • Recht om vergeten te worden
  • Recht op dataportabiliteit
  • Persoonsgegevens mogen alleen verwerkt worden voor een ‘gerechtvaardigd’doel, verwerking moet ‘proportioneel’ en ‘subsidiair’ zijn
  • Geldt voor heel Europa – ook voor bedrijven van buiten Europa met vestiging in EU
  • Laagdrempelige klachtenprocedure bij datalekken of privacyschending voor burgers bij toezichthouder
  • Bedrijven moeten verplicht functionaris gegevensbescherming aanstellen
  • Hoge boetes bij datalekken: maximaal € 20 mln, of 4% van de jaarlijkse mondiale omzet

Waarschuwingen uitgedeeld

Google kreeg onlangs als eerste een fikse boete vanwege een schending van de AVG. Het bedrijf was volgens de Franse privacywaakhond CNIL niet open genoeg over de manier waarop gegevens worden ingezet voor reclame-doeleinden, en kreeg een boete van €50 mln te verwerken.

In Nederland heeft de AVG nog niet geleid tot boetes. Wel dreigde de Autoriteit Persoonsgegevens het UWV met een last onder dwangsom en kreeg de Belastingdienst een verwerkingsverbod opgelegd, vanwege het gebruik van het burgerservicenummer als btw-nummer voor zelfstandigen. Zzp’ers worden daarmee kwetsbaar voor identiteitsfraude, oordeelde de toezichthouder.

‘Een last onder dwangsom is vaak het begin van een debat tussen toezichthouder en bedrijf,’ zegt Zwenne. ‘De toezichthouder is er ook om onduidelijkheden weg te nemen.’ En sommige zaken kan de toezichthouder gemakkelijk controleren. Zoals de plicht om een functionaris gegevensbescherming in te stellen, want die moet ingeschreven staan bij de privacyautoriteit. ‘Instanties als gemeenten en zorginstellingen, je gaat ze gewoon allemaal af en gaat tellen,’ aldus de hoogleraar Recht en Informatiemaatschappij.

Het instellen van zo’n privacyfunctionaris is overigens niet voor elk bedrijf verplicht: de verplichting geldt onder de AVG voor publieke instanties, voor bedrijven die het volgen van individuen of het in kaart brengen van hun activiteiten als kerntaak hebben, en voor instanties die op grote schaal bijzondere persoonsgegevens (bijvoorbeeld medische informatie, of informatie over iemands strafrechtelijke verleden of geloofsbelijdenis) verwerken.

Nieuwe consultants

Dat de AVG voor de opkomst van een nieuw soort consultant heeft gezorgd, is evident. ‘Dat gebeurt altijd als er een nieuwe wet wordt ingevoerd die onduidelijkheid met zich meebrengt’, zegt Van Schoonhoven. Die onduidelijkheid zorgt ervoor dat niemand echt weet wat ‘compliance’ in dit geval is, vindt Zwenne. ‘Iemand die zegt “ik ben 100% AVG-compliant” kun je niet vertrouwen, want we weten namelijk vaak niet wat compliant is. Privacyadviseurs creëren vooral werk voor zichzelf.’

Dat ziet ook Van Schoonhoven: ‘Wat heeft de AVG ons tot dusver gebracht? Veel angst- en doemdenken, flink aangewakkerd door onervaren advocaten en consultants.’ Volgens zowel Van Schoonhoven als Zwenne zijn er veel adviseurs actief die geen of weinig ervaring hebben met privacy.

Om onderscheid te maken tussen ervaren advocaten en charlatans binnen de privacy-advocatuur, richtte Zwenne onlangs de Vereniging Privacyrecht Advocaten op, een specialisatievereniging binnen de Nederlandse Orde van Advocaten. Privacy-advocaten kunnen daar lid van worden, mits ze bijvoorbeeld ten minste 50% van hun tijd aan privacyzaken spenderen, of meer dan 500 uur per jaar aan privacyrecht besteden. Doel van die vereniging is ook om een specialisatieopleiding in het privacyrecht aan te bieden.

Politiek signaal

De toezichthouder, die naar aanleiding van de AVG extra budget en personeelsuitbreiding kreeg, moet zijn bestaansrecht wel bewijzen, en zal dus binnenkort wel met de eerste, hoge boetes komen, denken de experts.

‘Het mkb heeft de neiging om te bagatelliseren en te denken het hen niet zal overkomen,’ zegt adviseur en advocaat Melanie Hermes. ‘De Autoriteit Persoonsgegevens zal echt wel gaan handhaven, en zal zich daarbij ook op het mkb richten’, speculeert ze. ‘En een procedure is zo in gang gezet.’

Datalekken zijn bijvoorbeeld een makkelijk begaanbare schending. Wanneer iemand binnen het bedrijf een mail doorstuurt met adressen van anderen erin, is dat eigenlijk al een datalek. De Autoriteit Persoonsgegevens publiceert periodiek cijfers over datalekken: in 2018 waren dat er 20.881.

Adviseur Van Schoonhoven verwacht dat het wel mee zal vallen met de hoeveelheid boetes. ‘Maar ze zullen wel een paar keer stevig gaan bijten. Dat is allemaal politiek: ze hebben zeven miljoen extra budget gekregen en hebben aangekondigd miljardenboetes te gaan opleggen.’

Optimistisch

De Autoriteit Persoonsgegevens zelf wil tegenover het FD niet vooruitlopen op eventuele geldstraffen. ‘Er zijn zeker een aantal zaken ernstig genoeg om dieper in te duiken’, zegt woordvoerder Martijn Pols. Wat passend optreden is, kan pas op termijn duidelijk worden. ‘Maar is er dwang nodig, dan kan er een last onder dwangsom of boete volgen’, aldus Pols.

De toezichthouder is optimistisch over de privacybewustwording bij bedrijf en burger. Pols: ‘Dat is een compliment waard: mensen zijn ver met de bescherming van persoonsgegevens. Wij realiseren ons ook dat grote en kleine bedrijven veel werk hebben moeten verzetten. Er is een goede basis gelegd voor privacybescherming, maar in de praktijk moet blijken of persoonsgegevens echt beschermd blijven.’

‘Als bedrijf doe je het niet alleen maar om privacy te beschermen, maar ook om zelf efficiënter te worden’, voegt adviseur Van Schoonhoven toe. Het is een kans om ‘data-obesitas’ – het onnodig lang bewaren van overbodige gegevens – te bestrijden. ‘Bedrijven weten vaak niet eens wat voor onnodige data ze allemaal in huis hebben.’


Deze bijdrage verscheen eerder op: https://fd.nl/achtergrond/1286970/angst-voor-privacywet-avg-blijkt-ongegrond.