AVG: hoe staan we er voor?

AVG via Pixabay

(door Gerrit van Rooij en Jan van den Berg, DPO Network) De Algemene Verordening Gegevensbescherming (AVG) is ruim een half jaar geleden van kracht gegaan. In 2018 was er daarom veel te doen rond privacy en de bescherming van persoonsgegevens. Nu, met een nieuw jaar voor de boeg, is het een goed moment om vooruit te kijken.

Graag delen we onze ideeën met u, maar we zijn vooral ook geïnteresseerd in hoe het u vergaat. Aan het eind van dit blog vragen we door middel van een enquête om uw mening. Geheel in lijn met de AVG, vinden we dat uw gegevens niet van ons zijn maar van u. De uitkomst van onze enquête delen we graag met u zodat u er ook echt iets aan heeft.

Papieren tijger?

Een veel gehoorde opmerking is dat naleving van de AVG vooral een papieren tijger is met een lage ‘pakkans’, omdat het de Autoriteit Persoonsgegevens (AP) ontbreekt aan de capaciteit.

Ondertussen heeft de AP het Toezichtkader voor 2018-2019 gepubliceerd en haar capaciteit uitgebreid. Daarin geeft ze aan dat er extra focus zal komen te liggen op zowel de beveiliging van persoonsgegevens, het hanteren van juiste grondslagen en de uitwisseling van persoonsgegevens. Ook zal naleving actief gecontroleerd gaan worden.

Zo heeft de AP bij alle banken en verzekeraars gecheckt of er een Functionaris Gegevensbescherming is aangesteld. Ook wordt in het bedrijfsleven, waaronder de financiële dienstverlening, steekproefsgewijs getoetst of het register van verwerkingsactiviteiten wordt bijgehouden.

Recent heeft de AP sanctionerend opgetreden en heeft ze een dwangsom opgelegd aan Theodoor Gillissen Bankiers vanwege het niet naleven van de privacywetgeving. Ook heeft de AP een boete opgelegd aan Uber vanwege het niet tijdig melden van een datalek en aan de Politie vanwege het niet op orde hebben van het toegangsbeleid. In andere Europese landen zijn er inmiddels meerdere boetes opgelegd.

Mensen hechten wel degelijk aan hun privacy maar laten zich in de praktijk vaak leiden door gemak en voordelen die in ruil voor hun persoonsgegevens te verkrijgen zijn. De zogenaamde privacy paradox. Dat neemt niet weg dat consumenten meer en meer gebruik maken van hun recht van inzage en gegevens-wissing. Daarbij worden ze geholpen door initiatieven als My Data Done Right en de De Datavakbond.

Niet altijd duidelijk

De AVG is er duidelijk over dat de wet moet worden nageleefd. Echter, omdat de wet neutraal is geformuleerd met betrekking tot techniek en sectoren, is de AVG er niet altijd duidelijk over hoe dat moet gebeuren. Om die reden staan er veel open normen in de AVG. Toelichtingen van de toezichthouders en of uitspraken van rechters moeten hier invulling aan gaan geven.

Wat het BSN betreft: hier is inderdaad al veel over gesproken. Volgens het ministerie van Financiën mogen financiële dienstverleners het BSN niet verwerken omdat het niet noodzakelijk is. Volgens de brancheorganisatie Adfiz mag het wel zolang je daar de machtiging van de consument voor hebt. Het blijft onduidelijk. Inmiddels heeft de sector het ministerie nogmaals gevraagd om overleg daarover. We blijven het volgen.

De AVG geeft geen absolute normen voor de beveiliging van persoonsgegevens. Bij het bepalen van passende veiligheidsmaatregelen moet rekening worden gehouden met context, risico’s en kosten en van de stand van de techniek. Wel is duidelijk dat er steeds meer wordt nagedacht over beveiligingsmaatregelen.

Welke risico’s loop ik?

Het grootste risico dat u loopt is dat uw klanten de dupe worden van een beveiligingsincident waarvoor u verantwoordelijk bent waardoor persoonsgegevens op straat komen te liggen. Datalekken zijn dagelijks in het nieuws. Neem dus uw maatregelen! Voorkom reputatieschade. Vertrouwen komt immers te voet en gaat te paard. Niet alleen de wet vraagt om een zorgvuldige omgang met persoonsgegevens, ook klanten en relaties beoordelen organisaties daarop. Zaak dat het goed geregeld is. 

Enquête en benchmark

Om te kunnen weten waar u staat nodigen we u uit om mee te doen aan onze privacy-enquête. Vooral willen we dat u er iets aan heeft. Wanneer u meedoet, krijgt u van ons een benchmark waarmee de manier waarop u persoonsgegevens verwerkt kunt vergelijken met hoe er gemiddeld door collega-organisaties in uw branche mee wordt omgegaan.

De uitkomst van de enquête biedt ons de mogelijkheid om onze dienstverlening aan u te kunnen verbeteren en af te stemmen op uw bedrijfsvoering. Ook daarvan kan u profiteren. Uiteraard zullen wij uw gegevens veilig verwerken en garanderen uw anonimiteit.

Ga naar de enquête.

Reactie toevoegen

 
Meer over
Nederland een van weinige landen waar AVG-boetes verzekerbaar zijn

Nederland een van weinige landen waar AVG-boetes verzekerbaar zijn

Nederland is een van de weinige landen waar AVG-boetes verzekerbaar zijn, blijkt uit onderzoek door Aon en advocatenkantoor DLA Piper. Aon: "De Nederlandse wet...

AVG niet van toepassing op overleden personen

AVG niet van toepassing op overleden personen

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op de gegevens van overleden personen. In dit opzicht vormt de AVG aldus geen beletsel voor...

Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

Heeft u een of meer bekende Nederlanders als klant? Let er dan extra goed op dat u zich houdt aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft het Haga Ziekenhuis...

SIVI: nieuwe verzuimstandaarden

SIVI: nieuwe verzuimstandaarden

SIVI heeft de essentiële informatie voor verzuimprocessen vastgelegd in twee nieuwe verzuimstandaarden, die alle ketenpartijen in staat stellen te voldoen aan...

Hoekstra: AP moet oordelen over gebruik klantgegevens

Hoekstra: AP moet oordelen over gebruik klantgegevens

Het is aan de AP als toezichthouder om te oordelen over de rechtmatigheid van het voorgenomen gebruik van klantgegevens in individuele gevallen, zoals nu door ING....

Verwerken BSN onder AVG

Verwerken BSN onder AVG

Een financieel adviseur met het BSN van een klant alleen verwerken als dit voor het verrichten van een rechtshandeling noodzakelijk is en de klant de adviseur hiervoor...

AVG vertaald naar de dagelijkse adviespraktijk

AVG vertaald naar de dagelijkse adviespraktijk

Bettie Hoogsteen van Adfiz stond tijdens de bijeenkomst 'AVG één jaar later, waar staan we nu?' uitgebreid stil bij de verantwoordingsplicht...

Bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei

Bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei

Tijdens de bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei presenteert DPO Network de uitkomsten van het AVG-onderzoek dat zij onder...

Meldingen datalekken 2018 verdubbeld

Meldingen datalekken 2018 verdubbeld

Het aantal meldingen van datalekken is fors toegenomen. Bij de Autoriteit Persoonsgegevens (AP) zijn in 2018 bijna 21.000 lekken gemeld, vergeleken met 10.000...

Automatisch delen klantinformatie wel degelijk mogelijk

Automatisch delen klantinformatie wel degelijk mogelijk

Volgens Adfiz is automatisch delen van klantinformatie wel degelijk mogelijk onder de AVG. De organisatie roept adviseurs op er melding van te maken als aanbieders...