Print:

Dit weten we over het toezicht op de AVG

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De Autoriteit Persoonsgegevens (AP) kan op grond van de Algemene verordening persoonsgegevens (AVG) forse boetes uitdelen. Daarom houden veel privacyprofessionals nauwlettend in de gaten gehouden hoe de toezichthouder de handhaving oppakt. Er is nog veel onduidelijk. Maar drie dingen weten we zeker over het toezicht.

IIR Privacy

 

“We zijn druk bezig geweest met het grootschalig adviseren van burgers, bijvoorbeeld via een landelijke campagne. Voor professionals ontwikkelden we talloze Q&A’s en een ‘regelhulp’ om uitleg te geven,” zegt Thijs Drouen, directeur bij de Autoriteit Persoonsgegevens (AP), over de eerste maanden na de inwerkingtreding van de Algemene verordening persoonsgegevens (AVG).

De AP is ook gestart met onderzoeken die een indruk geven van “de stand van het land”. Welke onderzoeken de AP de komende periode oppakt, kan Drouen niet onthullen. Volgens het toezichtkader 2018-2019 ligt de focus van het toezicht in ieder geval op overheidsorganisaties, zorginstellingen en bedrijven die handelen in data. Tegelijkertijd kan de AP op basis van klachten van burgers in actie komen. Eind juni bleek dat er binnen een maand na de inwerkingtreding van de AVG bij de AP al zo’n zeshonderd klachten waren binnen gekomen.

Welke onderwerpen en sectoren de AP de komende periode onder een vergrootglas gaat leggen, is dus nog onduidelijk. Wat weten we wel? Drie zaken om als privacyprofessional rekening mee te houden.

Boetes zijn een last resort

In de media wordt regelmatig gesproken over de boetebevoegdheid die de AP sinds 2016 heeft. De boetes kunnen oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde jaaromzet. Reden voor angst? “Het uitdelen van boetes is een last resort – en bovendien niet een doel op zich: het gaat erom dat er een einde komt aan een overtreding en de bescherming van persoonsgegevens op orde is”, benadrukt Drouen.

Als de AP een regelvertreding constateert, dan kan het handhavende optreden bestaan uit een boete, maar ook uit bestuursdwang of een dwangsom. “Welk handhavinginstrument we uit onze gereedschapskist kiezen, is afhankelijk van de concrete situatie”, aldus Drouen. “Stel dat er sprake is van een overtreding, maar dat de organisatie al snel goede stappen zet om verbeteringen door te voeren. Dan kunnen we een boete of een last onder dwangsom opleggen. Een berisping kan vaak al uiterst effectief werken om de regelovertreding te beëindigen. En vergeet niet dat een verbod op een gegevensverwerking misschien wel minstens zo ingrijpend is – de hele bedrijfsvoering kan er bij wijze van spreken stil door komen te liggen.”

Er is volop voorlichting

Via voorlichtingscampagnes, online Q&A’s, praktische stappenplannen en overleggen met brancheorganisaties probeert de AP het voor organisaties zo makkelijk mogelijk te maken om de wet na te leven. Drouen: “Er zijn regels die nieuw zijn en normen waarvan nog niet glashelder is wat ze inhouden. Daarvoor zetten we extra in op voorlichting. Het is belangrijk dat organisaties weten wat er van hen verwacht wordt – die zekerheid moeten ze gewoon krijgen.”

Privacyprofessionals kunnen ook met vragen terecht bij de AP. Voor Functionarissen voor de Gegevensbescherming (FG’s) is daarvoor zelfs een speciaal e-mailadres. Maar de toezichthouder neemt ook vragen van anderen in behandeling, vertelt Alex Commandeur, senior adviseur privacy in de publieke sector bij BMC en tot voor kort werkzaam bij de AP. Commandeur, die tijdens de opleiding tot Certified Data Protection Officer (CDPO) van IIR een module verzorgt over samenwerking met de AP, adviseert privacyprofessionals wel om een vraag goed voor te bereiden. “Stel geen vragen waarop je het antwoord eigenlijk zelf wel kunt vinden. En vermijd open vragen die de indruk wekken dat je de toezichthouder al het werk laat verzetten. Laat zien dat je al naar antwoorden en oplossingen hebt gezocht maar er desondanks niet uitkomt.”

De basics moeten op orde zijn

“De aanwezigheid van een register van verwerkingsactiviteiten is voor ons een belangrijk signaal dat privacy serieus wordt opgepakt,” zegt Drouen over de achtergrond van het onderzoek dat de toezichthouder uitvoert bij dertig grote organisaties uit tien private sectoren. De AP controleert of de bedrijven het verplichte register van verwerkingsactiviteiten op de juiste wijze bijhouden. Daarmee is het onderzoek ook een stimulans voor bedrijven in andere branches en overheidsorganisaties om het verwerkingsregister op orde te hebben. Een vergelijkbare conclusie is te trekken uit het onderzoek naar FG’s bij de overheid waarover de AP in juni publiceerde. De AP kondigde al aan dat ook andere organisaties die verplicht zijn een FG aan te stellen onderwerp van onderzoek worden.

Frederique van der Jagt, privacy-advocaat bij Hunter Legal, ziet nog andere aspecten van AVG-compliance die een toppositie op de agenda verdienen. “Een partij die nu op grote schaal gegevens doorverkoopt zonder toestemming van betrokkenen kan op de vingers natellen dat er een reëel boeterisico is. Dat geldt ook voor de bescherming tegen datalekken: bedrijven kunnen immers al sinds 2016 worden beboet worden als de beveiliging daartegen onvoldoende is.” Van der Jagt waarschuwt om de verantwoordelijkheden voor AVG-compliance niet te onderschatten. “Het heeft geen zin om te verwijzen naar andere organisaties die de regels niet naleven, bijvoorbeeld omdat die de privacyverklaring ook nog niet hebben geactualiseerd. Elke organisatie heeft een eigen verantwoordelijkheid om compliant te zijn.”

Een serieuze gesprekspartner zijn voor de AP? Boek dan de cursus Privacy officer 2.0, de praktijkcursus FG in de publieke sector, of de opleiding tot Certified Data Protection Officer (CDPO).

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten