Print:

Drie trends in dataprotectie, een jaar na de AVG

Er is veel gebeurd in de maanden sinds de Algemene verordening gegevensbescherming (AVG) van kracht werd. Drie actuele ontwikkelingen om in de gaten te houden in het tijdperk van de AVG.

Het was een van de meest gestelde vragen rond de komst van de Algemene verordening gegevensbescherming (AVG): hoe komt het toezicht eruit te zien? De uitbreiding van de sanctiebevoegdheden van de Autoriteit Persoonsgegevens (AP) was aanleiding voor wilde speculaties over het risico om torenhoge boetes opgelegd te krijgen. Eerder dit jaar was al duidelijk dat de toezichthouder sterk inzet op verkennende onderzoeken binnen specifieke sectoren en thema’s, en daarnaast investeert in guidance en voorlichting.

De dreiging van boetes is nog altijd reëel. Tegelijkertijd werken steeds meer organisaties aan structurele awareness en compliance, bijvoorbeeld vanuit een overtuiging dat dataprotectie ook volop kansen biedt voor de business.

De hype rond de AVG is inmiddels wel voorbij, maar de ontwikkelingen op het vlak van dataprotectie staan bepaald niet stil. Drie trends die actueel zijn in het huidige AVG-tijdperk.

Drie trends in dataprotectie | IIR
  1. Toezichthouders laten in de toenemende mate de tanden zien

Het gemiddelde boeterisico mag dan relatief gering zijn, toezichthouders zijn anno nu zeker geen tandeloze tijgers. De AP heeft vorig jaar al opgetreden tegen onder meer de Belastingdienst, de nationale politie, Theodoor Gilissen Bankiers, Uber en UWV. Daarnaast zijn er gerichte onderzoeken gestart op terreinen die de AP vanuit haar toezichtkader prioriteit geeft, zoals de handel in persoonsgegevens, en naar aanleiding van vragen en klachten van betrokkenen.

Voor Nederlandse privacyprofessionals zijn ook de internationale ontwikkelingen in het toezicht relevant. De Franse toezichthouder CNIL legde Google een miljoenenboete op vanwege een inadequaat privacystatement. De Britse Information Commissioner’s Office deelde recent een boete van £400.000 uit. Bounty, een organisatie die zwangere vrouwen en ouders informatie, advies en proefproducten geeft, zou de persoonsgegevens van meer dan veertien miljoen leden illegaal hebben verhandeld. In de Verenigde Staten ligt Facebook onder het vergrootglas van de Federal Trade Commission omdat het bedrijf de persoonsgegevens van miljoenen gebruikers zonder hun toestemming heeft verstrekt aan Cambridge Analytica.

De AP heeft inmiddels aangekondigd haar onderzoeken naar regelnaleving voort te zetten en uit te breiden. Het toezichtkader geeft richting aan de branches en thema’s die daarbij vooral worden gecontroleerd, zoals de overheid en gezondheidszorg. 

  1. Na de AVG vraagt ook andere wetgeving de aandacht

De komst van de AVG is wel aangeduid als een aardverschuiving in het privacyrecht, of de start van een nieuw tijdperk in de Europese dataprotectie. Overdreven? De aandacht voor de nieuwe wet heeft het thema privacy in ieder geval hoog op de agenda gezet – bij verantwoordelijken, bewerkers én betrokkenen.

AVG-compliance is natuurlijk niet het enige dossier dat de aandacht vraagt van privacy officers en Functionarissen voor de Gegevensbescherming (FG’s). De ePrivacy Verordening komt er aan en zal mogelijk grote impact hebben op de verwerking van persoonsgegevens via bijvoorbeeld websites en direct marketingactiviteiten.

Overheidsorganisaties staan daarnaast voor de uitdaging om bij archiefbeheer niet alleen rekening te houden met de AVG, maar ook met de Archiefwet. Over de raakvlakken tussen beide regimes bestaan nog veel vragen en onzekerheden. Multinationals met kantoren buiten Europa kunnen bovendien te maken hebben met nationale wetgeving.

  1. Er komt steeds meer ruimte om te groeien in privacy volwassenheid

De meldplicht datalekken geldt al sinds 2016, maar staat sinds de invoering van de AVG extra in de belangstelling. Vorig jaar zijn er 20.881 datalekken bij de AP gemeld. Het aantal meldingen is daarmee meer dan verdubbeld ten opzichte van het jaar ervoor, toen de AP er zo’n 10.000 ontving. De AP onderneemt ook regelmatig actie naar aanleiding van gemelde datalekken, en startte in 2018 diverse onderzoeken naar niet-gemelde incidenten. Zo kreeg Uber een boete van 600.000 euro vanwege een te laat gemeld datalek.

De meldplicht datalekken lijkt dan ook een stevige plek te hebben gekregen in het privacybeleid en het risicomanagement van organisaties. De verankering van dataprotectie in de Plan Do Check Act-cyclus en een risk control framework draagt ertoe bij dat AVG-compliance geen tijdelijk project wordt, maar een structurele plek heeft in de bedrijfsvoering en op de managementagenda. Daarmee laten organisaties zien hoe volwassen ze zijn op het vlak van dataprotectie.

Na de focus op de verplichtingen uit de AVG, ontstaat dan ook nieuwe ruimte om te werken aan wat organisaties willen en kunnen als het gaat om privacy. De opgave voor privacyprofessionals is nu om de werkvloer te stimuleren om serieus werk te maken van de groei in privacy volwassenheid, en de awareness en compliance blijvend op peil te houden. Dit waren natuurlijk al uitdagingen onder de Wet bescherming persoonsgegevens, maar is in het tijdperk van de AVG urgenter dan ooit.

Op de hoogte blijven van de trends in AVG-compliance en dataprotectie? Volg de tweedaagse training AVG-compliance en kom op 6 en 7 juni naar de Dag van de Privacy Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten