ZBC Kennisbank

Autoriteit Persoonsgegevens houdt onzekerheid over privacywet in stand

 

Het lijkt erop, dat de Autoriteit Persoonsgegevens (AP) haar uiterste best doet om ook na 25 mei de onzekerheid over de handhaving van de privacywet AVG in stand te houden.

Minister Dekker, minister voor Rechtsbescherming, antwoordde in maart nog op kamervragen, dat Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, hem had verzekerd dat de nadruk de eerste maanden zal liggen op het informeren van organisaties en ‘niet op het beboeten van de korfbalvereniging als de welwillendheid er is om aan de regels te voldoen’.

Onverbiddelijk en ver gaan met controle op naleving

Op 11 mei echter kopte het FD op de voorpagina:
‘Het midden- en kleinbedrijf kan fluiten naar een uitzonderingspositie of zelfs maar een lichter regime bij de handhaving van de nieuwe Europese privacywet, die 25 mei ingaat. Ondernemers hadden om vrijstelling gevraagd omdat ze vrezen op kosten te worden gejaagd, maar de Autoriteit Persoonsgegevens (AP), die de naleving van de wet controleert, is onverbiddelijk. Een woordvoerder van de privacywaakhond noemt het beschermen van privacy en persoonlijke informatie een ‘grondrecht’ en ‘essentieel’. De toezichthouder wil daarom in de handhaving ‘ver’ gaan.’
Onder de Algemene Verordening Gegevensbescherming (AVG) heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

Dure grap voor het MKB

Secretaris ICT David de Nood van MKB-Nederland schat dat de wet het hele Nederlandse bedrijfsleven tot €1,4 mrd extra per jaar kost aan nalevingsuitgaven. Ondernemingen, maar ook ziekenhuizen, overheids- en onderwijsinstellingen, moeten in computersystemen bijhouden welke persoonsgegevens ze hebben, wat ze ermee doen, wanneer die gegevens worden weggegooid en hoe ze zijn beveiligd. Deze ‘registerplicht’ in de wet kost alleen al €500 mln, becijferde SIRA Consulting. De Nood was dan ook ‘heel blij’ met een vrijstellingsclausule in de wet voor bedrijven met minder dan 250 werknemers. Alleen kleine ondernemingen die medische, financiële of andere potentieel gevoelige informatie opslaan zouden onder de registerplicht vallen.
Maar de voorwaarden om voor vrijstelling in aanmerking te komen, blijken tot schrik van MKB-Nederland veel strenger dan gedacht. Elke vorm van ‘niet-incidentele’ opslag leidt al tot een registerplicht. De Nood komt tot de conclusie dat de uitzonderingen op geen enkele mkb-ondernemer of zzp’er van toepassing zijn, want iedereen houdt structureel wel een klantenbestand of de salarisadministratie bij. ‘Dit grijpt diep in in de bedrijfsprocessen’, zegt De Nood. ‘De informatie over de wet, onder meer van de AP, is heel complex en juridisch pittig. Mkb’ers moeten dus hulp gaan inroepen en niet iedereen heeft daar de middelen voor.’
Dat vindt ook public policy manager Ivo Poulissen van brancheorganisatie Nederland ICT. ‘Waar de grootste risico’s zitten, moet het strengste toezicht zijn, net zoals bij de huidige Wet bescherming persoonsgegevens. Maar de interpretatie van de nieuwe wet ligt bij de Europese toezichthouders en die hebben nu duidelijkheid gegeven,’ zegt hij.
Heel merkwaardig is volgens Poulissen dat de Europese toezichthouders zeggen dat het bijhouden van een register met privégegevens niet leidt tot hogere administratieve lasten. ‘Dat klopt niet. En wij zien ook niet in dat zo’n register leidt tot meer bescherming van persoonsgegevens. Onze sector is wel heel blij met andere delen van de wet die aanzetten tot het nadenken over beveiliging. Dat is cruciaal in onze digitale economie.’
De Nood denkt dat voor mkb’ers de privacybaten niet zullen opwegen tegen de kosten. ‘De Autoriteit Persoonsgegevens gaat vrijwel nooit controleren bij een individueel mkb-bedrijf,’ zegt hij. De Autoriteit heeft 120 mensen in dienst en Nederland kent ruim een miljoen zzp’ers en ruim 195.000 kleine bedrijven met twee tot tien werknemers.’
De AP-woordvoerder wijst erop dat de wet een aanlooptijd heeft gehad van twee jaar om bedrijven de kans te geven hun register op orde te krijgen. ‘Vanaf 25 mei gaat de wet echt in en wij zijn verplicht iedere klacht in behandeling te nemen. Dat kan leiden tot een onderzoek en eventueel sancties.’ En er zouden al klachten lopen.

Speerpunten van toezicht

Op haar website zegt de AP:

“De focus in het toezicht op de naleving van de wetgeving ligt de komende jaren op de naleving van de verantwoordingsplicht door organisaties, door onderzoeken en voorlichting. Maar ook door te controleren of de organisaties die verplicht zijn een FG aan te stellen, zoals overheden en zorginstellingen, op 25 mei een FG hebben. Andere aandachtspunten zijn de beveiliging van medische gegevens, de niet gemelde datalekken en de handel in persoonsgegevens. Daarnaast blijft de AP vanzelfsprekend alert op onderwerpen die actueel zijn en veel mensen raken.”

Een heel ander geluid

Tot zover lijkt het duidelijk. Maar wie schetst mijn verbazing, toen ik op de website van de AP een pdf tegenkwam, ondertekend door o.a. Aleid Wolfsen, waarin werd aangegeven:

“Het doel van ons werk is het bevorderen van de naleving van de privacywetgeving, niet het opleggen van boetes. We hebben sinds 2016 een boetebevoegdheid, maar konden pas boetes opleggen als opzet of ernstig verwijtbare nalatigheid was aangetoond. Dat is tot nu toe niet het geval geweest. We hebben wel meerdere procedures gestart om lasten onder dwangsom op te leggen, maar de ervaring is dat organisaties vaak de geconstateerde overtredingen beëindigen tijdens de handhavingsprocedure of tijdens het onderzoek dat eraan vooraf gaat. En dat is ons doel.”

Na alle eerdere geluiden moest ik deze alinea zeker drie keer lezen om te begrijpen wat er nu echt stond. Kort gezegd is er dus sedert 2016 niets gebeurd, dat niet door de beugel kon of dat na een paar kleine aanpassingen niet akkoord was. Ook het datalek bij de belastingdienst (zie ‘Juridisch commentaar op schandaal bij de belastingdienst’), dat zijn weerga niet kent in Nederland, was dus geen reden om een boete op te leggen.
Blijkbaar is ‘sorry’ zeggen en daarna je leven verbeteren voldoende om de AP te laten besluiten om toch maar geen boete op te leggen. Alle inspanningen die organisaties hebben geleverd om op tijd klaar te zijn voor de privacywet, lijken dus eigenlijk voor niets te zijn geweest. Als de AP in 2020 misschien eens bij jou langs komt, dan is het altijd nog vroeg genoeg om in actie te komen.

Kan de privacy officer (FG) nu bij het grof vuil?

Gezien bovenstaande tekst van de AP zou je kunnen zeggen, dat je helemaal geen FG of privacy officer meer nodig hebt, tenzij je hier wettelijk toe verplicht bent. (In het artikel ‘Kies je voor een Privacy Officer of voor een Functionaris Gegevensbescherming – FG’ staat het verschil tussen deze twee functionarissen beschreven.)
Toch denk ik dat ook organisaties die wettelijk niet verplicht zijn zo’n functionaris te hebben, er verstandig aan doen om er toch eentje te benoemen. Om te beginnen is de uitleg van de privacywet door de AP net zo veranderlijk als het weer. Dat moet je bijhouden, net als de jurisprudentie die de komende jaren over de AVG zal ontstaan. Verder is de verantwoordingsplicht de komende jaren heel belangrijk. Het hebben van een privacy officer of FG is ook een onmiskenbaar statement, dat je privacy serieus neemt. Ook al heb je nog lang niet alles gedaan, de privacy officer is het bewijs dat de intentie er is dat wel te gaan doen. Bovendien kan deze functionaris de organisatie behoeden voor stommiteiten en als er toch incidenten plaatsvinden, dan weet hij/zij in elk geval hoe je een boete kunt vermijden.
Natuurlijk is het voor kleinere organisaties te duur om zo iemand zelf op de payroll te hebben. Het vergt vooral een aanzienlijke inspanning om bij te blijven. Daarom bieden wij als ZBC de invulling aan van een externe privacy officer of FG. Afhankelijk van de grootte van de organisatie en de hoeveelheid en complexiteit van de persoonsgegevens komt deze per jaar of per kwartaal een paar dagdelen langs om je organisatie bij te praten en te checken of er geen gekke dingen gebeuren. Verder staat onze privacy officer iedere dag voor je klaar om je te helpen bij datalekken of als de AP haar pijlen op jou richt. Lees meer over ons aanbod voor de externe parttime privacy officer of FG.

Bronnen:
Website Autoriteit persoonsgegevens
Ria Cats, ‘Mkb kan uitzondering op nieuwe, strenge privacywet wel vergeten. ‘In: Het Financieele dagblad. 11 mei 2018.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 15 juni 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *