Anderhalf jaar na de invoering van de Algemene verordening gegevensbescherming (AVG/GDPR) worstelen organisaties nog altijd met deze wetgeving. Het Capgemini Research Institute heeft vastgesteld dat slechts 31% van de ondervraagde bedrijven in Nederland voldoet aan de AVG. Dit bleef niet onopgemerkt. De minister voor Rechtsbescherming evalueert de stand van zaken rond deze Europese verordening in een brief aan de Kamer en doet daarbij een aantal verbetervoorstellen.

Tijd voor een evaluatie

Na de invoering van de AVG in mei 2018 stond de AVG bij iedereen hoog op de agenda. Van verwerkingsovereenkomsten tot privacy verklaringen: we gingen aan de slag. In de praktijk bleek het een fikse klus om AVG-compliant te worden. Daarnaast was niet alles even goed uitgekristalliseerd.

Niet gek dus dat ruim een jaar later slechts 31 procent van de bedrijven in Nederland zegt te voldoen aan de AVG.

Tegelijkertijd zijn we bewuster dan ooit van ons recht op privacy. De klachten stromen binnen bij de Autoriteit Persoonsgegevens (AP). In de eerste helft van 2019 hebben 19.020 mensen en organisaties contact opgenomen met de AP. De klachten gingen voornamelijk over privacy. Het aantal privacy klachten is met 59% gestegen ten opzichte van het laatste halfjaar van 2018.

Een kostbare last

AVG2.jpg

Een goede AVG-aanpak kost tijd, kennis en mankracht. Een onderzoek door ICSA gaf aan dat 78 procent van de bedrijven vindt dat de AVG een ‘zware last’ op de beschikbare middelen is.

Hierdoor blijken grote bedrijven vaker compliant te zijn. Zij stellen hogere budgetten beschikbaar voor AVG-compliancy. Voor kleinere bedrijven is het echter net zo belangrijk zich goed te beschermen tegen bijvoorbeeld verlies van klantgegevens of een cyberaanval.

Zeker nu blijkt dat dataverlies of -diefstal steeds meer kost. De kosten van datalekken zijn de afgelopen 5 jaar met 12% gestegen blijkt uit onderzoek van IBM naar de financiële impact van datalekken. De gemiddelde kosten voor een datalek zijn 3,92 miljoen.

Daarnaast riskeren organisaties die zich niet aan de AVG houden ook nog eens een boete van maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Toekomstplannen

Nu we ongeveer anderhalf jaar ervaring hebben met de privacywetgeving, gaan ook de wetgevers evalueren én waar nodig met nieuwe aanwijzingen of aanpassingen komen. Er is immers nog veel onduidelijk en een groot deel van de bedrijven is nog altijd niet compliant. Dat vraagt om nieuwe maatregelen. Een overzicht van de stand van zaken.

Wijzigingen in de Nederlandse privacy wetgeving

De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) geeft in Nederland uitvoering aan de AVG. De minister heeft vastgesteld dat wijziging wenselijk is op een aantal punten in de UAVG. Daarvoor wordt een wetsvoorstel ‘aanpassing UAVG’ gemaakt.

Volgens de minister is het bijvoorbeeld van belang om voor bepaalde verwerkingen een explicietere grondslag voor de verwerking van gegevens op te nemen. Denk aan:

  • verwerking bijzondere categorieën persoonsgegevens door accountants ter uitvoering van wettelijke controletaken;

  • toepassing biometrie voor identificatie van personen om rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten te verlenen;

  • verwerking bijzondere categorieën persoonsgegevens door het Huis van klokkenluiders ter uitvoering van hun wettelijke advies en onderzoekstaken;

  • verwerking van gezondheidsgegevens door patiëntverenigingen voor intern gebruik.

Onderzoek noodzakelijkheid

Voorbeelden van onderwerpen die onderzoek behoeven of waarvoor aanpassing van de wetgeving noodzakelijk is:

  • gebruik van het BIG-nummer buiten de wet BIG;

  • adequate grondslag voor profilering door banken;

  • gebruik van het BSN-nummer door ondernemers, in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.

Andere oplossingen

Er zijn ook knelpunten waar een oplossing voor is zonder dat de wetgeving hiervoor aangepast hoeft te worden. Bijvoorbeeld:

  • aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boete aan verwerkers opgelegd door de AP;

  • verduidelijking van de verhouding Archiefwet tot de AVG;

  • meer duidelijkheid en rechtszekerheid bij relatief eenvoudige standaardverwerkingen voor kleinere verwerkingsverantwoordelijken.

Wijzigingen in de Europese wetgeving

In Europa is men ook volop bezig met het evalueren van de AVG in de praktijk. Voorbeelden van door Nederland aangebrachte onderwerpen zijn:

  • administratieve verplichtingen voor kleine bedrijven verlichten door versoepeling van de plicht voor het aanleggen van een verwerkingsregister;

  • ongelijkheid tussen Europese landen verminderen door bijvoorbeeld uniformering van bepaalde aanvullende regels, richtlijnen en werkwijzen (bijv. meldformulier voor datalekken).

Voor 25 mei 2020 dient de Europese Commissie een evaluatieverslag aan te bieden aan het Europees Parlement en de Raad over de evaluatie en toetsing van de AVG. Voor die tijd moeten alle voorstellen zijn aangeleverd.

Wat betekent dit voor u?

Voor nu wordt u nog altijd verwacht zich aan de bestaande AVG-regels te houden. Daarnaast is het belangrijk om de Nederlandse en Europese ontwikkelingen rondom de (U)AVG te volgen.

Uiteraard houden wij u door middel van onze wekelijkse blogs op de hoogte van alle actualiteiten. Niets missen? Meld u dan aan voor onze maandelijkse nieuwsbrief.