AVG & AP: overzicht van één jaar handhaving AVG
Vanaf 25 mei 2019 zitten we alweer in het tweede handhavingsjaar van de Algemene Verordening Gegevensbescherming (AVG of ook wel GDPR genoemd). In Nederland is het de Autoriteit Persoonsgegevens (AP) die toezicht houdt en handhaaft.
In deze blog gaan we in op het eerste jaar AVG binnen de EU en op de acties en de nieuwe campagne van de AP. Wat kunnen we opmaken uit dit eerste jaar?
Boetes in de EU
In de aanloop naar 25 mei 2018 was er veel te doen over de handhavingsmogelijkheden en vooral de hoge boetes uit de AVG. Ondernemingen en organisaties zagen er tegenop en veel individuen keken ernaar uit. In het eerst jaar is er in Nederland nog geen AVG boete opgelegd, de enige boete die de AP aan Uber heeft opgelegd betrof namelijk nog de Wbp. Er zijn dus zowel opgeluchte als teleurgestelde reacties.
In andere landen binnen de EU zijn wel de eerste boetes opgelegd. Een aantal daarvan noem ik hieronder.
- De Oostenrijkse autoriteit legde in september 2018 een boete op van 5.280 euro aan een café voor het gebruik van camera’s, die ook op de straat gericht waren. Voor dit gebruik bestond geen grondslag, omdat het gerechtvaardigd belang van het café zich volgens de Oostenrijkse autoriteit niet uitstrekte tot het opnemen van beelden op de openbare weg. Bovendien was er geen bordje waaruit bleek dat er camera-opnames werden gemaakt, wat wel verplicht is.
- De Portugese autoriteit heeft een boete van 400.000 euro opgelegd aan een ziekenhuis vanwege drie schendingen van de AVG. De schendingen zagen met name op de toegang tot het systeem met de patiëntgegevens. Deze was niet afgestemd op de functie van de personeelsleden, waardoor iedereen van het ziekenhuis toegang had tot de volledige medische dossiers van alle patiënten. Zo waren er bijvoorbeeld 985 doktersprofielen, terwijl er maar 296 dokters werkten. Volgens de Portugese autoriteit was dit niet alleen een beveiligingsgebrek, maar ook een schending van het principe van dataminimalisatie.
- De Franse autoriteit (CNIL) heeft Google een boete van 50 miljoen euro opgelegd vanwege de schending van haar informatieplicht en het ontbreken van een geldige grondslag (in dit geval toestemming) voor de verwerking van persoonsgegevens voor gepersonaliseerde advertenties.
- De Poolse autoriteit heeft een boete van ongeveer 220.000 euro opgelegd aan Bisnode, een onderneming die gegevens verzamelt uit openbare bronnen op het internet, zoals gegevens uit de Poolse Kamer van Koophandel. De autoriteit legde niet alleen deze boete op vanwege de schending van de informatieplicht, maar ook een verplichting om alsnog de bijna 6 miljoen personen van wie zij gegevens heeft verzameld te informeren. Het gaat voornamelijk om gegevens van ondernemers, waaronder namen en ID nummers.
- In Duitsland zijn door de autoriteiten al 41 boetes opgelegd. De hoogste boete bedroeg 80.000 euro aan een zorginstelling waarvan de gezondheidsgegevens van patiënten openbaar toegankelijk waren. De eerste boete van 20.000 euro werd opgelegd aan de sociale media aanbieder Knuddels.de, omdat zij de wachtwoorden niet versleuteld had opgeslagen. In beide gevallen dus een schending van het vereiste om persoonsgegevens op een passende wijze te beveiligen.
- De autoriteit in Malta heeft een boete van 5.000 euro opgelegd aan de ‘Lands Authority’ na een onderzoek van een datalek, waaruit bleek dat de beveiliging van haar website niet voldeed aan de AVG.
- Ook in Litouwen (onder meer vanwege het niet melden van een datalek) en België (schending van het vereiste van doelbinding) is inmiddels een boete opgelegd.
Klachten en datalekken
De European Data Protection Board, de organisatie waar alle privacy toezichthouders van de EU lid zijn, heeft een overzicht gepubliceerd over de gebeurtenissen van het eerste jaar AVG (GDPR). Een aantal punten uitgelicht:
- In het eerste jaar van de AVG zijn in totaal 144.376 klachten binnengekomen bij de privacy autoriteiten.
- De meeste klachten hebben betrekking op commerciële e-mails (spam), telemarketing en het gebruik van camera’s.
- Ook zijn in dit eerste jaar 89.271 datalekken gemeld bij de Europese autoriteiten.
- Het totale aantal onderzoeken die lopen bij de Europese autoriteiten is niet bekend, maar intussen lopen er wel 446 grensoverschrijdende onderzoeken. Die hebben betrekking op de verwerking van persoonsgegevens in diverse landen, waarbij meer dan één autoriteit is betrokken.
Acties van Autoriteit Persoonsgegevens
Ook al heeft de AP nog geen boete voor het schenden van de AVG opgelegd, de AP heeft niet stil gezeten het afgelopen jaar.
Vragen en klachten
Het regende vragen en klachten bij de AP:
- De AP berichtte dat het afgelopen jaar 27.000 mensen de AP telefonisch hebben benaderd met vragen over de AVG.
- Daarnaast ontving de AP in 2018 ruim 11.000 klachten over vermoedelijke privacy-schendingen.
- In 2019 waren dat er tot 1 mei nog eens 9.000.
- In 2018 waren er bijna 21.000 datalekmeldingen en tussen 1 januari en 1 mei 2019 alweer bijna 8.000 meldingen van datalekken.
In onze eerdere posts in deze blogreeks hebben we al stil gestaan bij de controles van de AP en het boetebeleid van de AP.
Maatregelen en acties van de AP
Daarnaast heeft de AP ook andere maatregelen genomen tegen organisaties die volgens de AP in strijd met de AVG hebben gehandeld of andere acties ondernomen. Hieronder een greep daaruit.
- De AP heeft per 1 januari 2020 een verwerkingsverbod opgelegd aan de Belastingdienst voor de verwerking van het BSN in het BTW nummer van zelfstandigen. Tevens heeft de AP bericht dat ze een onderzoek is gestart naar het verwerken van nationaliteit door de Belastingdienst.
- Naar aanleiding van klachten van zzp’ers die ongevraagde aanbiedingen ontvangen, oordeelde de AP dat het product ‘Adressenbestand Online’ van de Kamer van Koophandel (KvK) niet voldoet aan de privacyregels. De KvK heeft aangekondigd dit product vanaf 1 juli 2019 niet meer aan te bieden. De AP heeft ook voorstellen gedaan om de Handelsregisterwet aan te passen, zodat de KvK makkelijker het verstrekken van gegevens kan weigeren als het om commercieel gebruik gaat van de gegevens.
- De AP heeft bericht dat cookiemuren in strijd zijn met de vrije toestemming uit de AVG. Een bezoeker zou daarom ook bij het weigeren van zogenaamde ‘tracking cookies’ toegang moeten kunnen krijgen tot de website. De AP heeft de organisaties waar zij de meeste klachten over cookiemuren over heeft ontvangen een brief gestuurd met de aankondiging dat zij de controle op cookiemuren zal intensiveren.
- De AP heeft de Nationale Politie een tweede last onder dwangsom opgelegd voor het niet controleren van logbestanden. Ook de UWV kreeg een last onder dwangsom waarbij de AP heeft bepaalt dat het UWV uiterlijk op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde moet hebben in overeenstemming met de laatste stand van de techniek (met meerfactorauthenticatie). Als het UWV dit dan niet op orde heeft, moet zij een dwangsom van 150.000 euro per maand betalen.
- Ook heeft de AP aandacht gevraagd voor de nieuwe ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) en deed zij onder meer aanbevelingen voor privacybeleid en gaf zij tips voor datalekregisters.
Van voorlichting naar handhaving
In een interview over één jaar AVG van Privacyweb heeft de voorzitter van de AP aangegeven dat de AP vanaf nu meer de nadruk zal leggen op handhaving en minder op voorlichting. Daarin zegt de voorzitter onder meer:
“Wat je in 2019 kunt verwachten, is de overgang van de waarschuwende autoriteit die dingen uitlegt en campagnes voert, naar ook de handhavende autoriteit die doorpakt waar nodig is. Zorg, financiën, de overheid, datalekken en datahandel zijn daarbij onze hoofdprioriteiten.”
In een interview van Toezine zegt een ander bestuurslid van de AP dat één van de ambities van de komende tijd is om het MKB te ondersteunen bij de naleving van de AVG. Daar is de nieuwe campagne van de AP ook specifiek op gericht.
Nieuwe campagne voor MKB
Vanuit het MKB is veel kritiek op de AVG en de uitleg die de AP daaraan geeft. Zo geeft MKB-Nederland onder meer aan dat de AVG te complex en vaag is voor MKB ondernemers en er onvoldoende balans is tussen privacy en andere belangen, zoals het tegengaan van fraude en de bescherming van de veiligheid van werknemers. Samen met NVO-NCW heeft MKB-Nederland een brief geschreven aan de Tweede Kamer om aandacht te vragen voor deze knelpunten.
De Autoriteit Persoonsgegevens is tevens een campagne gestart ‘Wat betekent de privacywet voor jou(w bedrijf)?’. Deze campagne zal – volgens de AP – ook praktische hulp bieden aan het MKB om te voldoen aan de AVG. In de komende maanden zal de AP informatie geven over de onderdelen uit de AVG waar zij de meeste vragen over krijgt vanuit het MKB.
Deze maand staat in het teken van de vraag ‘hoe faciliteer je als MKB-er de privacyrechten van je klanten?’. Het gaat dan onder meer om het inzagerecht en het recht om vergeten te worden (‘recht op gegevenswissing’). Op de campagnewebsite www.hulpbijprivacy.nl van de AP staat informatie voor ondernemers.
De AP licht de volgende vragen nader toe:
Daarnaast heeft de AP een voorbeeldoverzicht in Excel gemaakt dat gebruikt kan worden bij de beantwoording van een inzageverzoek. Dat overzicht kun je downloaden via de knop onder deze blog.
Jammer genoeg bevat dat overzicht niet alle informatie die de AVG vereist bij een inzageverzoek. Zo ontbreekt de informatie dat de betrokkene het recht heeft om rectificatie, gegevenswissing, of gegevensbeperking van zijn persoonsgegevens te verzoeken, dan wel bezwaar kan maken of een klacht kan indienen bij de AP. Ook de mogelijke vereiste informatie over de verwerking van persoonsgegevens bij geautomatiseerde besluitvorming of profilering is niet meegenomen in dit voorbeeld.
Het is kennelijk een bewuste keuze geweest om niet alle vereisten in het voorbeeld op te nemen, want de AP begint het voorbeeld met een waarschuwing. Dat maakt het voorbeeld wel minder bruikbaar. Ik raad je daarom aan om de ontbrekende onderdelen zelf toe te voegen samen met de gegevens van je organisatie en van de contactpersoon voor privacyverzoeken om zo een compleet model te hebben dat voor ieder inzageverzoek gebruikt kan worden.
Samengevat: wat kunnen we opmaken uit dit eerste jaar AVG?
Wat mij vooral op is gevallen in mijn praktijk is dat inmiddels iedereen wel weet dat er regels zijn voor het verwerken van persoonsgegevens, maar dat de uitleg nog steeds veel verschilt. Veel organisaties of personen beschouwen de regels als veel te streng, terwijl anderen juist vinden dat er nog wel erg veel kan.
In mijn ogen is de bewustwording een grote stap voorwaarts. Een organisatie kan ook juist gebruik maken van het feit dat het om open normen gaat, want dat biedt ruimte voor praktische inbedding van de regels binnen de organisatie. Het is zeker niet nodig om in de kramp te schieten en alle verwerkingen in vraag te stellen. Het is wel nodig om de bescherming van persoonsgegevens van klanten, burgers en werknemers serieus te nemen en daar transparant over te zijn.
Hulp nodig?
Als je hulp kan gebruiken bij het toepassen van de AVG binnen je organisatie, neem dan contact op met één van onze privacy specialist Marieke Thijssen.