Nieuws

Autoriteit Persoonsgegevens: de AVG moet in het DNA van organisaties komen

09.08.2018

Voor veel organisaties in Nederland waren de maanden rond 25 mei 2018 een hectische periode. De implementatie van de Algemene verordening gegevensbescherming (AVG) vroeg de nodige tijd en aandacht. Ook bij de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) was het topdrukte. Thijs Drouen, directeur juridische zaken en wetgevingsadviseur bij de toezichthouder, blikt terug op de eerste periode na de invoering van de AVG én kijkt vooruit naar het toekomstige toezicht. “Naleving van de AVG hoort er voor iedere organisatie bij.”

“We zijn druk bezig geweest met het grootschalig adviseren van burgers, bijvoorbeeld via een landelijke campagne. Voor professionals ontwikkelden we talloze Q&A’s en een ‘regelhulp’ om uitleg te geven,” zegt AP-directeur Thijs Drouen over de eerste maanden na de inwerkingtreding van de AVG. Drouen is op 26 september keynote spreker tijdens het Dataprotectie & Privacy Congres van IIR en vertelt dan uitgebreid over de toezichtstrategie van de AP. “Ons telefonische spreekuur loopt inmiddels volop”, vertelt Drouennu al. “De vragen, informatieverzoeken en klachten geven een goed beeld van wat mensen bezighoudt. Zo krijgen we veel vragen over het recht op inzage en het recht op verwijdering. Het blijkt voor organisaties best lastig om daar praktisch invulling aan te geven. We komen ook veel misvattingen over de AVG tegen. Zo wordt wel eens gedacht dat er opeens geen schoolfoto’s meer gepubliceerd mogen worden. Maar er kan vaak meer dan je denkt. Je moet het alleen wel goed in je processen regelen.”

Uiteenlopende klachten, vooral over bedrijven

Eind juni bleek dat er een maand na de inwerkingtreding van de AVG bij de AP zo’n zeshonderd klachten waren binnen gekomen. Daarvan waren er op het moment van publicatie 400 geanalyseerd. Het gros – 87 procent – gaat over bedrijven, de overige over overheidsinstanties. Drouen: “De mogelijkheid voor burgers om een klacht in te dienen, die de toezichthouder vervolgens in behandeling neemt, is nieuw onder de AVG. De klachten die we ontvangen zijn heel divers: het kan bijvoorbeeld gaan om een signaal over een overtreding, een informatieve vraag of een verzoek om handhavend op te treden.”

Voorheen hadden burgers niet de mogelijkheid om een klacht in te dienen, maar wel om een signaal af te geven aan de AP. Op jaarbasis kwamen er duizenden van dat soort meldingen binnen. “Omdat het gaat om een ander type meldingen dan de klachten die we nu registeren, laten de cijfers over de afgelopen jaren zich lastig vergelijken”, zegt Drouen. In ieder geval gaat de AP twee keer per jaar rapporteren over de klachten en de analyse die daarvan gemaakt wordt. “Voor de toekomst gaan we uit van de scenario’s die Andersson Elffers Felix onderscheidde in hun onderzoek naar de werkstromen die door de AVG op ons af komen. We houden er dus echt rekening mee dat we een flink aantal klachten gaan behandelen.”

De stand van het land in beeld

Niet alleen de klachten die de AP registreert geven een beeld van de regelnaleving van de AVG in Nederland. De AP is ook gestart met onderzoeken die een indruk geven van “de stand van het land”. In juli maakte de toezichthouder bekend een onderzoek uit te voeren naar dertig grote organisaties uit tien private sectoren. De AP controleert of de bedrijven het verplichte register van verwerkingsactiviteiten op de juiste wijze bijhouden, legt Drouen uit. “We doen het onderzoek vooral om te kijken hoe ver organisaties nu met de naleving zijn. Zit de AVG al tussen de oren? De aanwezigheid van een register van verwerkingsactiviteiten is voor ons een belangrijk signaal dat privacy serieus wordt opgepakt.” De uitkomsten van het onderzoek zal de AP op hoofdlijnen publiceren. “Als er zaken worden ontdekt die niet op orde zijn, dan zullen we ook handhavend optreden.”

Toezicht focust op drie sectoren

Het steekproefsgewijze onderzoek dat de AP momenteel uitvoert in de tien private sectoren is een voorbeeld van een actie die de toezichthouder ook in andere branches en op andere onderwerpen zal ondernemen. Net als in het verleden kan de AP op grond van de AVG op eigen initiatief onderzoek uitvoeren. In principe worden alle onderzoeksrapporten gepubliceerd. Vanwege het risico van reputatieschade is die openbaarmaking voor veel organisaties al reden om AVG-compliance serieus te nemen.

Welke onderzoeken de AP de komende periode oppakt, kan Drouen nog niet aangeven. Volgens het toezichtkader 2018-2019 ligt de focus van het toezicht in ieder geval op overheidsorganisaties, zorginstellingen en bedrijven die handelen in data. “Onze inzet is om guidance te blijven bieden en de burger met raad en daad bij te staan. We analyseren welke vragen en klachten op ons afkomen en wat we op basis van onderzoeken zien gebeuren. Het toezichtkader benoemt de sectoren en onderwerpen waarop we sowieso extra letten. Maar als er bepaalde onderwerpen opduiken die ons opvallen, of waarover we veel vragen en klachten krijgen, dan pakken we die zeker ook op.”

Weten wat er wordt verwacht

Als tijdens een onderzoek regelovertredingen worden vastgesteld, kan de AP handhavend optreden door bestuursdwang, een dwangsom of een boete op te leggen. “Welk handhavinginstrument we uit onze gereedschapskist kiezen, is afhankelijk van de concrete situatie”, legt Drouen uit. “Stel dat er sprake is van een overtreding, maar dat de organisatie al snel goede stappen zet om verbeteringen door te voeren. Dan kunnen we een boete of een last onder dwangsom opleggen. Een berisping kan vaak al uiterst effectief werken om de regelovertreding te beëindigen. En vergeet niet dat een verbod op een gegevensverwerking misschien wel minstens zo ingrijpend is – de hele bedrijfsvoering kan er bij wijze van spreken stil door komen te liggen.”

Via voorlichtingscampagnes, online Q&A’s, praktische stappenplannen en overleggen met brancheorganisaties probeert de AP het voor organisaties zo makkelijk mogelijk te maken om de wet na te leven. “Er zijn regels die nieuw zijn en normen waarvan nog niet glashelder is wat ze inhouden. Daarvoor zetten we extra in op voorlichting. Het is belangrijk dat organisaties weten wat er van hen verwacht wordt – die zekerheid moeten ze gewoon krijgen.”

Boetes als last resort

In de media wordt regelmatig gesproken over de boetebevoegdheid die de AP sinds 2016 heeft. “De discussie over de boeterisico’s lijkt een verkeerd beeld te geven over de AVG. Het uitdelen van boetes is een last resort – en bovendien niet een doel op zich: het gaat erom dat er een einde komt aan een overtreding en de bescherming van persoonsgegevens op orde is”, benadrukt Drouen.

“De essentie van ons werk als toezichthouder is dat we willen dat gegevensbescherming in het DNA van een organisatie zit: dat een organisatie fatsoenlijk omgaat met data die burgers in vertrouwen hebben afgegeven. Die ambitie dragen we uit. Mocht er uiteindelijk toch een boete nodig zijn om een organisatie hiertoe te zetten, dan treden we natuurlijk op. Want naleving van de AVG hoort er voor iedere organisatie bij.”

Bron: iir.nl