Print:

Drie trends in toezicht op AVG-compliance

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De Algemene verordening gegevensbescherming (AVG) is van kracht. Hoe gaat toezichthouder Autoriteit Persoonsgegevens (AP) de handhaving oppakken? De voorspellingen daarover zijn divers. Drie zaken om in ieder geval rekening mee te houden.

In de aanloop naar de invoering van de Algemene verordening gegevensbescherming (AVG) is veel gespeculeerd over het optreden van de Autoriteit Persoonsgegevens (AP). Op welke manier gaat de toezichthouder de regelnaleving controleren? Hoe wordt gereageerd op klachten van burgers? Welke organisaties krijgen onverwacht bezoek van inspecteurs?

Dataprotectie & Privacy gids | IIR

 

De AP heeft natuurlijk een beperkte capaciteit om toezicht op de naleving van de AVG uit te oefenen. Omdat de nieuwe wet voor veel organisaties ingrijpende wijzigingen in de bedrijfsvoering meebrengt – en de regels niet altijd glashelder zijn – heeft de AP aangekondigd in eerste instantie slechts in beperkte mate handhavend op te treden. De focus ligt op voorlichting en ondersteuning. De handhaving zal zich vooral richten op situaties waarin sprake is van opzettelijke of ernstige misstanden. De AP kan dan eerst een last onder dwangsom opleggen, en zal een boete uitdelen als fouten niet tijdig of afdoende hersteld worden. De boetes van de AP kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde omzet.

De experts zijn het er wel over eens: de AP zal zich in eerste instantie richten op grote, toonaangevende bedrijven. “De toezichthouder gaat vaak voor een steen in de vijver effect door per sector een organisatie aan te pakken die veel mensen kennen. Dat schudt de hele betreffende sector dan ineens wakker”, aldus Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van diverse IIR-opleidingen. Dat is bepaald geen reden om rustig achterover te leunen. Drie zaken om in het vizier te houden.

Controleren op FG’s

In maart 2018 maakte de AP al bekend dat de handhaving bij gemeenten in eerste instantie zou worden gericht op controle op de aanwezigheid van een FG. Inmiddels blijkt dat ook andere organisaties in de publieke sector onder een vergrootglas liggen. Zo zijn in juni ruim vierhonderd overheidsorganisaties onder de loep genomen. Minder dan vier procent van de onderzochte gemeenten, provincies, waterschappen, ministeries en zelfstandige bestuursorganen zou niet voldoen aan de verplichte aanstelling van een FG. Organisaties die verplicht zijn een FG aan te stellen, zoals organisaties in de publieke sector, en dit bij een inspectie van de AP niet blijken te hebben geregeld, riskeren een dwangsom of boete.

Behandelen van klachten van burgers

Onder de AVG kan iedereen een privacyklacht bij de AP indienen, waarna de toezichthouder verplicht is om er iets mee te doen. De AP heeft aangekondigd dit serieus op te pakken. “Na 25 mei gaan we alle klachten in behandeling nemen. Over de voetbalclub, de marketeer of de overheidsinstelling”, zei voorzitter Aleid Wolfsen. Als daarbij een overtreding wordt geconstateerd, zal ook handhavend worden opgetreden, heeft de toezichthouder aangekondigd.

Ter geruststelling: in de meeste gevallen zal aan de overtreder eerst een last onder dwangsom worden opgelegd. Als de onrechtmatigheid binnen de daarin gestelde termijn wordt opgeheven, blijft een boete achterwege. Zoiets gebeurde bijvoorbeeld – overigens nog onder de voorganger van de AVG, de Wet bescherming persoonsgegevens – bij de sauna’s die de AP onderzocht na meldingen over camera-opnamen in ruimten waar bezoekers ontkleed zijn. Op basis van de streekproef die de AP in 2018 uitvoerde concludeert de toezichthouder dat de sauna’s voldoen aan de regelgeving. Dit gebeurde nadat de gehele sector in 2016 een waarschuwingsbrief ontving over de regels rond camera’s in onder meer kleedkamers, toiletten en doucheruimtes.

Focussen op thema’s en sectoren

De AP legt bij het toezicht op de naleving van de AVG in eerste instantie de focus op de naleving van de verantwoordingsplicht van organisaties, de beveiliging van medische gegevens, de melding van datalekken en de handel in persoonsgegevens, zo maakte de toezichthouder op 25 mei 2018 bekend. De inspectie richt zich op organisaties waarover (veel) klachten binnenkomen, maar de AP initieert ook zelf onderzoeken, met name bij grote ondernemingen.

De marketing- en reclamebranche is een van de sectoren waarop de AP extra gaat letten, aldus voorzitter Wolfsen. “Waar we echt aandacht aan gaan besteden is de datahandel voor marketing. Daarover worden we dagelijks gebeld. De kern van de AVG is dat mensen het beheer krijgen over hun eigen data. Maar als mensen ergens het zicht daarop verliezen dan is het wel bij deze datahandel.”

De alertheid op specifieke onderwerpen en sectoren wil overigens niet zeggen dat de AP andere overtredingen door de vingers zal zien. Wolfsen en zijn collega’s hebben bij herhaling benadrukt dat tegen opzettelijke of ernstige misstanden stevig wordt opgetreden. De privacywaakhond gaat eindelijk de tanden laten zien. Wie weet wordt het niet alleen blaffen, maar ook bijten.

Op zoek naar nog meer informatie en inspiratie over de AVG? Volg de vierdaagse cursus Privacy Officer 2.0, of de speciale variant voor privacyprofessionals werkzaam in het publieke domein, FG in de publieke sector.

Dataprotectiegids | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten