Home » 1 Jaar AVG

1 Jaar AVG

Op 25 mei 2019 is het precies één jaar geleden dat de veelbesproken Algemene verordening gegevensbescherming (AVG) van toepassing werd. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) tevens haar jaarverslag over 2018. Tijd de balans op te maken. Wat is de opbrengst geweest van één jaar AVG? Zijn er hoge boetes uitgedeeld? Voor wat voor soort overtredingen? En waar moet u in 2019 op letten?

Jaarverslag 2018

2018 was voor de AP een hectisch jaar, zo mag uit het jaarverslag gerust worden opgemaakt. Niet alleen werd daarin de AVG van toepassing, ook nam de AP veel nieuwe medewerkers aan en werd een nieuwe organisatiestructuur opgetuigd en geïmplementeerd.

De AP geeft aan dat zij er bewust voor heeft gekozen in 2018 de nadruk te leggen op het bevorderen van de naleving van de privacyregels. Enerzijds door veel te investeren in voorlichting en advisering. Anderzijds door bij overtredingen eerder te zoeken naar het beëindigen van de overtreding dan naar het sanctioneren daarvan.

Enkele in het oog springende cijfers over 2018:

  • De AP ontving ruim 11.000 klachten en bijna 21.000 datalekmeldingen.
  • 720 klachten en 298 datalekmeldingen werden afgehandeld door middel van een interventie, zoals een brief of gesprek waarin de AP uitleg gaf over de privacyregels.
  • De AP rondde 16 onderzoeken af en startte 17 handhavingstrajecten. Deze hebben geleid tot sancties voor onder meer Uber, de Belastingdienst en het UWV.* Aan Uber werd een boete opgelegd van EUR 600.000 voor het te laat melden van een datalek. UWV kreeg een last onder dwangsom opgelegd omdat zij de toegangsbeveiliging van het werkgeversportaal niet had uitgerust met meerfactorauthenticatie. De Nationale Politie kreeg een last onder dwangsom opgelegd voor de gebrekkige beveiliging van een IT-systeem. Een dwangsom van EUR 48.000 werd ingevorderd bij InsingerGilissen Bankiers, wegens het niet voldoen aan een inzageverzoek. Tot slot werd de Belastingdienst verboden om met ingang van 1 januari 2020 nog langer het BSN te gebruiken in het btw-nummer.
  • Verschillende audits werden uitgevoerd, in zowel de publieke als de private sector, zoals of een FG was aangemeld, of een verwerkingsregister was aangelegd en of een privacybeleid was opgesteld.

Elders in Europa

Hoe stellen de toezichthouders elders in Europa zich op? In verschillende lidstaten zijn inmiddels de eerste boetes opgelegd voor overtredingen van de AVG. Hieronder treft u een bloemlezing aan:

  • De Poolse toezichthouder legde in maart 2019 een boete van EUR 220.000 op aan een Pools bedrijf wegens schending van de informatieplicht. Het bedrijf had een omvangrijke database aangelegd met persoonsgegevens welke het bedrijf uit publieke bronnen had verzameld. Echter zonder betrokkenen daarover te informeren.   
  • De Franse toezichthouder legde in januari 2019 een boete van EUR 50.000.000 op aan Google wegens een gebrek aan transparantie, schending van de informatieplicht en het niet-rechtsgeldig verkrijgen van toestemming.
  • De toezichthouder van Malta legde in februari 2019 een boete van EUR 5.000 op aan het Maltese Kadaster, omdat het Kadaster een online portaal niet goed had beveiligd.
  • De Duitse toezichthouder (meer specifiek die van Baden-Württemberg) legde in september 2018 een boete van EUR 20.000 op aan een Duits sociaal netwerk. Het sociaal netwerk had melding gemaakt van een datalek waarbij wachtwoorden en e-mailadressen van gebruikers waren gelekt. Uit vervolgonderzoek van de toezichthouder bleek dat wachtwoorden niet versleuteld waren opgeslagen, waarmee inbreuk was gemaakt op de verplichting passende beveiligingsmaatregelen te treffen.
  • De Oostenrijkse toezichthouder legde in september 2018 een boete van EUR 5.280 op aan een wedkantoor dat gebruik maakte van een video surveillance systeem. De toezichthouder oordeelde dat geen rechtsgrond aanwezig was en dat de opnamen te lang werden bewaard.   

Wat brengt 2019?

In haar jaarverslag stelt de AP nadrukkelijk dat de focus in 2019 zal verschuiven van voorlichting naar handhaving. In 2019 zal steviger worden ingezet op handhaving. Waar de AP bij de afhandeling van een klacht nu nog vaak aanstuurt op het beëindigen van de (mogelijke) overtreding, zal zij in 2019 vaker overgaan tot onderzoek en het opleggen van sancties. Als aandachtsgebieden voor 2019 noemt de AP i) de beveiliging en grondslagen voor verwerking van persoonsgegevens in de zorg, ii) niet-gemelde datalekken en iii) handel in persoonsgegevens.

Heeft u vragen over de AVG of aanverwante wet- en regelgeving? Neemt u dan contact op met Jeroen van Helden, advocaat IT, IE & Privacy bij De Clercq Advocaten Notariaat (j.vanhelden@declercq.com).

*De overtredingen dateren vaak uit het pre-AVG tijdperk en zijn dus beoordeeld en gesanctioneerd volgens de Wet bescherming persoonsgegevens en niet volgens de AVG.