1 jaar AVG

Op 25 mei 2019 is het precies één jaar geleden dat de veelbesproken Algemene Verordening Gegevensbescherming (AVG) van toepassing werd. De AVG legt verschillende verplichtingen op voor organisaties die persoonsgegevens verwerken, zoals het aanleggen en bijhouden van een verwerkingsregister, het aangaan van verwerkersovereenkomsten, het informeren van betrokkenen over de verwerking van hun gegevens (via een privacy verklaring), het voeren van een goed informatiebeveiligingsbeleid en het eventueel aanstellen van een Functionaris Gegevensbescherming. Aangezien binnen franchiseformules doorgaans veel data wordt verwerkt, denk alleen al aan klantgegevens, gelden deze verplichtingen ook voor franchisegevers- en nemers en dienden duidelijke afspraken te worden gemaakt over wie welke rol vervult binnen de franchisesamenwerking (die van verantwoordelijke of verwerker).

Nu de AVG bijna een jaar van kracht is, is het tijd om de balans op te maken. Wat is de opbrengst geweest van één jaar AVG? Zijn er hoge boetes uitgedeeld? Voor wat voor soort overtredingen? Op welke punten heeft de Autoriteit Persoonsgegevens (AP) meer duidelijkheid geboden en wat kan er in 2019 worden verwacht?

Toezicht en controles

Onlangs publiceerde de AP haar jaarverslag over 2018. Daarin heeft de AP aangegeven dat zij er bewust voor heeft gekozen in 2018 de nadruk te leggen op het bevorderen van de naleving van de privacyregels. Enerzijds door veel te investeren in voorlichting en advisering. Anderzijds door bij overtredingen waarschuwingsbrieven te sturen en gesprekken met de organisaties te voeren, in plaats van zwaardere middelen als onderzoeken en boetes in te zetten.

Direct na 25 mei 2018 startte de AP met controles op de verantwoordingsplichten uit de AVG. De AP controleerde onder andere bij 400 overheidsorganisaties, 91 ziekenhuizen, 33 zorgverzekeraars en 138 financiële instellingen of zij een Functionaris Gegevensbescherming hadden aangemeld. Ook is de AP in december 2018 gestart met onderzoek naar het privacybeleid in de zorg en bij politieke partijen. Daarnaast heeft de AP bij een willekeurige steekproef van dertig grote organisaties uit tien private sectoren (industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg) onderzocht of zij een verwerkingsregister bijhouden.

Uit de controles wordt duidelijk dat de AP het aanstellen van een FG, het hebben van een privacybeleid en opstellen en bijhouden van een verwerkingsregister belangrijke verantwoordingsplichten vindt en dat de focus in het bijzonder lag op de overheid, de zorg en bedrijven die handelen in persoonsgegevens. Dit, omdat deze organisaties doorgaans over een grote hoeveelheid, vaak gevoelige, persoonsgegevens beschikken.

Handhaving

In 2018 rondde de AP 16 onderzoeken af en startte 17 handhavingstrajecten. Als we deze cijfers vergelijken met voorgaande jaren, zien we dat handhaving en sanctionering slechts mondjesmaat toeneemt. De gevreesde boetes zijn vooralsnog uitgebleven. Dit past bij het beleid dat de AP het afgelopen jaar heeft gevoerd waarbij zij bewust niet heeft ingezet op het instellen van onderzoeken en het opleggen van boetes.  

  2014 2015 2016 2017 2018
Datalekmelding 5.700 10.009 20.881
Handhavingstraject 13 17 20 20 17
Boete 0 0 0 0 1
Incasso/invordering 0 0 0 1 2

De handhavingstrajecten hebben in 6 gevallen geleid tot corrigerende maatregelen.* In de overige gevallen is de overtreding op een andere manier gestopt. Slechts in één geval heeft de AP een boete opgelegd. Uber kreeg een boete van EUR 600.000 voor het te laat melden van een datalek. Daarnaast heeft de AP vier keer een last onder dwangsom opgelegd (die dient te worden betaald als de overtreding niet tijdig wordt beëindigd). UWV kreeg een last onder dwangsom opgelegd omdat zij de toegangsbeveiliging van het werkgeversportaal niet had uitgerust met meerfactorauthenticatie. De Nationale Politie kreeg een last onder dwangsom opgelegd voor de gebrekkige beveiliging van een IT-systeem. Bij InsingerGilissen Bankiers werd een dwangsom van EUR 48.000 ingevorderd omdat de bank niet volledig voldeed aan het inzageverzoek van een klant. Ook heeft de AP eenmaal een verwerkingsverbod opgelegd. De Belastingdienst werd verboden om met ingang van 1 januari 2020 nog langer het BSN te gebruiken in het btw-nummer.

Verduidelijking door AP

In het kader van het bevorderen van de naleving van de privacyregels heeft de AP ook getracht wat duidelijkheid te geven over onderwerpen waar de AP veel vragen over kreeg.

  • Direct marketing

Eén daarvan is direct marketing. Voor de AP was de handel in data een van de speerpunten voor 2018 en dit zal het ook zijn in 2019. Wat betreft direct marketing is de belangrijkste regel dat bedrijven in beginsel alleen iemands persoonsgegevens mogen gebruiken voor direct marketing als diegene hiervoor toestemming heeft gegeven. Alleen als het gaat om direct marketing voor soortgelijke producten naar bestaande klanten, is geen toestemming nodig. Bij direct marketing per post moet bovendien het marketingdoel verenigbaar zijn met het doel waarvoor de gegevens zijn verkregen. 

  • Wifitracking 

De AP licht toe dat wifitracking (het volgen van mensen via hun mobiele apparaten) slechts onder zeer strikte voorwaarden is toegestaan (overigens net als andere digitale middelen om personen te volgen). Omdat er bij wifitracking vrijwel altijd persoonsgegevens worden verwerkt, valt deze volgmethode onder de AVG. Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de AVG van toepassing. De AVG bepaalt dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking. De AP geeft aan dat het bij wifitracking bijvoorbeeld zou kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid. In beide gevallen is het dan echter nog steeds de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk (vooralsnog) niet uitvoerbaar.

  • Cookiewall

Een cookiewall houdt in dat mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij toegang krijgen tot de website. Geven zij geen toestemming, dan krijgen zij geen toegang tot de website. Voor het plaatsen van bepaalde cookies (tracking cookies en bepaalde analystische cookies) is toestemming van de bezoeker nodig. Dit geldt voor een website, maar ook voor apps of andere diensten. De AVG stelt strenge eisen aan geldige toestemming. Een van de eisen is dat de toestemming vrij moet zijn gegeven. Toestemming wordt geacht niet vrij te zijn gegeven als de bezoeker geen echte of vrije keuze heeft, of het weigeren van de toestemming nadelige gevolgen heeft. Volgens de AP is er bij een cookiewall geen sprake van vrije toestemming omdat geen toegang tot de website wordt verkregen als de toestemming wordt geweigerd. De ‘take it or leave it’ is geen echte of vrije keuze en er kan dus niet worden geweigerd zonder nadelige gevolgen. Hierdoor staan mensen volgens de AP onder druk hun persoonsgegevens af en dat is onrechtmatig. 

Op basis van andere bestaande of toekomstige regelgeving zoals de Telecomwet of de ePrivacy Verordening valt er nog wel het een en ander af te dingen op de interpretaties die de AP heeft gegeven. Zoals de toestemming voor direct marketing per post of het verbod op cookiewalls. Dit neemt echter niet weg dat organisaties op dit moment worden geconfronteerd met deze uitleg van de AP. Zo heeft de AP bijvoorbeeld al aangegeven dat zij de controle op de cookiewall zal intensiveren en zij heeft een aantal specifieke partijen hier zelfs al een brief over gestuurd.

Wat brengt 2019?

In haar jaarverslag stelt de AP nadrukkelijk dat de focus in 2019 zal verbreden van voornamelijk voorlichting naar meer handhaving. In 2019 zal steviger worden ingezet op handhaving. Zo werd onlangs het nieuwe boetebeleid van de AP gepubliceerd, waarin de AP beleid heeft vastgesteld voor de berekening van de hoogte van boetes. Waar de AP bij de afhandeling van een klacht nu nog vaak aanstuurt op het beëindigen van de overtreding, zal zij in 2019 vaker overgaan tot onderzoek en het opleggen van sancties. Als aandachtsgebieden voor 2019 noemt de AP daarbij i) de beveiliging en grondslagen voor verwerking van persoonsgegevens in de zorg, ii) niet-gemelde datalekken en iii) handel in persoonsgegevens. Of de soep daadwerkelijk zo heet zal worden gegeten als ze wordt opgediend, zal het komende jaar moeten uitwijzen.

Richella Soetens (met dank aan Jeroen van Helden)
Advocaat
De Clercq Advocaten en Notariaat

*De overtredingen dateren vaak nog uit het pre-AVG tijdperk en zijn dus beoordeeld en gesanctioneerd volgens de Wet bescherming persoonsgegevens en niet volgens de AVG.

Richella Soetens

Al ruim 160 jaar laten een groot aantal, veelal landelijk opererende, bedrijven en stichtingen hun belangen behartigen door De Clercq Advocaten Notariaat.

Stel je vraag aan Richella Soetens