Toezine

Wekelijkse verdieping voor professionals in toezicht, handhaving en inspectie

Bezig met laden...
1 jaar AVG: “Onze telefoon stond roodgloeiend”

1 jaar AVG: “Onze telefoon stond roodgloeiend”

Cookiewalls, discussies over torenhoge boetes en een vloed aan opt-in-mails: de privacywet AVG (Algemene verordening gegevensbescherming) heeft in zijn eerste jaar veel stof doen opwaaien. Wat is er bereikt en welke lessen zijn er geleerd? We blikken terug met Katja Mur, bestuurslid van de verantwoordelijke toezichthouder: de Autoriteit Persoonsgegevens.

Katja Mur

Wat valt er voor jullie, na een jaar AVG, aan succes te vieren?

Katja Mur: “Om te beginnen: ik ben blij dat iedereen inmiddels wel van de AVG gehoord heeft. En dat mensen weten wat het belang van privacy is en hoe wij ons als toezichthouder daarvoor inzetten. Ik las laatst over een datingsite die zich profileert als meest privacy-vriendelijk. Mooi dat een bedrijf zich op deze manier wil onderscheiden. Het onderwerp lééft dus in de samenleving. Verder ben ik heel tevreden dat Nederland er in een jaar tijd 9000 ‘functionarissen gegevensbescherming’ bij heeft gekregen. Dat zijn medewerkers die binnen een bedrijf toezicht houden op de persoonsgegevens en het management hierover adviseren. Een mooi resultaat.”
MET DE NIEUWE WET IN AANTOCHT SCHOTEN BEDRIJVEN EN INSTELLINGEN NOGAL IN DE STRESS. VOORAL DE MOGELIJK TORENHOGE BOETE BIJ EEN OVERTREDING WAS REDEN TOT ONGERUSTHEID. OOK HEERSTEN ER NOG VEEL VRAGEN OVER DE NIEUWE PRIVACYWETGEVING. HOE GINGEN JULLIE OM MET AL DIE REURING?

“We hebben ontzettend veel voorlichting gegeven om zo onnodige paniek rond de AVG weg te nemen. Zo hebben we overlegd met brancheverenigingen, die op hun beurt de bedrijven uit hun branche informeerden. Iedereen, zowel consumenten als organisaties, werd in die tijd gebombardeerd door ‘opt-in-mailtjes’ met de vraag om expliciete toestemming om een nieuwsbrief te blijven ontvangen. Dat droeg bij aan de bewustwording, maar ook aan de onzekerheid. Onze telefoon stond dan ook roodgloeiend. We kregen in 2018 bijna 30.000 telefoontjes van consumenten en bedrijven met vragen en klachten.”
“Bedrijven reageren over het algemeen heel goed op onze waarschuwingen.”
“We konden niet elke klacht individueel behandelen. Klachten over hetzelfde onderwerp of uit dezelfde sector hebben we gebundeld. Bijvoorbeeld over direct marketing. Per onderwerp hebben we de wettelijke normen verder uitgewerkt op onze website. Door uitleg te geven over wat je als consument kunt doen en wat een organisatie hoort te doen.”

Kun je een voorbeeld geven hoe jullie organisaties daar concreet mee helpen?

“We hebben in maart een uitleg gepubliceerd over de zogenaamde cookiewalls en hoe daarmee om te gaan. Een cookiewall is een beeldvullende pop-up met daarin de vraag om de cookies van die website te accepteren. Geef je hiervoor géén toestemming, dan wordt de site voor jou geblokkeerd. Dat is in strijd met de AVG. Wij hebben de organisaties waar we de meeste klachten over kregen de uitleg toegestuurd. Daar kregen we veel goede reacties op; men was blij met deze uitleg, zowel consumenten als de bedrijven zelf.”

Zien jullie al effecten van jullie handhaving op de AVG?

“Zeker. Bedrijven reageren over het algemeen heel goed op onze waarschuwingen. Dat is mooi, want een sanctie is geen doel op zich. Het gaat om het resultaat. Mooi voorbeeld van zo’n soepel traject is de Kamer van Koophandel. We ontvingen veel klachten van zzp’ers over hun Adressenbestand Online, met daarin de contactgegevens van ondernemers. Allerlei organisaties kunnen die gegevens opvragen, ook om gerichte marketing te doen. Tijdens gesprekken met de KvK bleek zij zelf ook in te zien dat zo’n online adressenbestand niet meer kan, gezien de nieuwe privacywet. Juridische maatregelen waren hierbij dus niet nodig. De KvK stopt daarom per 1 juli met dit product.”

Waar hebben jullie strenger moeten optreden?

“We hebben dit jaar een discussie gehad met de Nationale Politie, over het systeem waarmee ze inkomende en uitgaande personen en goederen in het Schengengebied controleert. Hiervoor moet de politie goed vastleggen wie er toegang toe heeft, zodat er geen onbevoegden in kunnen. Maar de beveiliging was niet binnen de opgegeven termijn verbeterd en we hebben daarom een dwangsom van 40.000 euro ingevorderd.”
“Door de enorme hoeveelheid kleinere bedrijven pakken we het toezicht daarop anders aan.”
“Ander voorbeeld is het bedrijf Uber, waaraan we een boete van zes ton hebben uitgedeeld. Ze hadden een datalek veel te laat bij ons gemeld. Uber is een van de grote multinationals die onder ons toezicht vallen omdat hun hoofdkantoor in Nederland staat.”

Je noemt enkele grote spelers. Hoe verloopt het toezicht op de vele midden- en kleinbedrijven?

“Door de enorme hoeveelheid kleinere bedrijven pakken we het toezicht daarop anders aan. Vanuit onze afdeling Systeemtoezicht hebben we verschillende verkennende onderzoeken verricht. Dan sturen wij organisaties vragen toe, die zij verplicht moeten beantwoorden. Zo krijgen we een beeld van hoe het er in de diverse sectoren voor staat. Tegelijk zorgen deze onderzoeken voor extra bewustzijn bij de ontvangers. We pikken daarnaast veel signalen op via binnenkomende klachten aan het adres van bedrijven. En tot slot: bedrijven zijn verplicht om datalekken bij ons te melden. Dus ook via die weg krijgen wij een goed beeld van wat er speelt.”

Wat is een valkuil in jullie toezicht?

“Ik denk dat het een grote valkuil is dat we, als er een kwestie speelt, graag direct willen optreden en dat meteen naar buiten toe willen communiceren. Maar dat kan gewoonweg niet altijd. Veel zaken en regelgeving moeten we eerst bespreken met de European Data Protection Board voordat we actie ondernemen. Binnen dit orgaan werken we samen met alle toezichthouders in de EU. Daarnaast is er zorgvuldig onderzoek en voldoende bewijs nodig om een overtreder aan te pakken. Je kunt het beter in één keer goed doen en veel impact hebben, dan snel handelen en met een verkeerd oordeel komen.”

Wat zouden jullie graag anders willen doen?

“We zouden vooral veel méér willen doen als toezichthouder, maar onze capaciteit is natuurlijk beperkt. Tegelijkertijd – en dat is ook een valkuil – willen we niet alleen maar reageren op wat zich dagelijks aandient, maar ook een sturende rol pakken en actief inspelen op ontwikkelingen. Om dat toch te kunnen doen, ondanks de beperkte capaciteit, moeten we goed prioriteiten stellen. Anders zijn we alleen maar de brandjes van de dag aan het blussen.”

Wat is jullie belangrijkste ambitie voor de komende tijd?

“Er blijft nog veel voorlichting en uitleg nodig, vooral in het midden- en kleinbedrijf. Vaak hebben deze bedrijven geen functionaris gegevensbescherming in dienst die ondersteunt bij de bescherming van persoonsgegevens. Ze zijn dus grotendeels afhankelijk van externe informatie. Onze focus ligt dus eerst op informeren, en na verloop van tijd zullen we bij deze doelgroep ook meer gaan handhaven. Want wéten hoe je persoonsgegevens moet beveiligen is één ding, maar vervolgens moet het ook nog daadwerkelijk gebeuren.”

Wat is de AVG?

De Algemene verordening gegevensbescherming (AVG) is een Europese regelgeving. Deze vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Met de AVG (in het Engels: GDPR) heeft de Europese Unie nu één privacywet. Overigens trad deze wet al in de lente van 2016 in werking, maar tot mei 2018 gold een overgangsperiode. De privacyrechten van gebruikers zijn met de AVG versterkt en uitgebreid. Mensen hebben meer zeggenschap over hun gegevens en over wat bedrijven daarmee doen.