De AVG: Hoe handhaaft de AP?
De Algemene verordening gegevensbescherming (AVG) is nu ruim twee maanden van kracht. Rondom de ingangsdatum, 25 mei 2018, was er veel aandacht voor deze privacyverordening. De grote vraag was toen nog hoe de toezichthouder, de Autoriteit Persoonsgegevens (AP), de naleving van de wet zou gaan controleren. Inmiddels weten we hier meer over.
In mei heeft de AP haar Toezichtkader gepubliceerd. Hierin staat dat het toezicht vooral wordt gericht op de overheid, de zorg en bedrijven die in persoonsgegevens handelen. Extra aandacht gaat uit naar de manier waarop organisaties omgaan met datalekken. Bij de overheid heeft de AP inmiddels een onderzoek verricht naar de naleving van de verplichting om een functionaris voor gegevensbescherming (FG) aan te stellen. In de private sector is de AP nu ook onderzoek aan het doen: bij dertig grote bedrijven wordt bekeken of zij beschikken over een verwerkingsregister.
Overtredingen van de AVG kunnen aan het licht komen, doordat de AP op eigen initiatief onderzoek doet, maar ook via klachten van betrokkenen. Bij de AP is al meer dan 1000 keer geklaagd over overheden of bedrijven die de regels niet zouden naleven. Het gaat daarbij vooral om verzoeken tot gegevensverwijdering die door bedrijven niet zouden worden ingewilligd. De AP is verplicht alle klachten in behandeling te nemen. Zoals bekend kan de AP bij overtredingen van de AVG een boete opleggen; tot op heden is van die bevoegdheid geen gebruikgemaakt. Wel heeft een bank onlangs een dwangsom van € 48.000 moeten betalen, omdat zij veel te laat is ingegaan op het verzoek van een klant om zijn persoonsgegevens in te zien. Dit was nog een kwestie waarop de Wet bescherming persoonsgegevens (Wbp) van toepassing was.
Het is te hopen dat het toezicht door de AP gaat leiden tot steeds meer duidelijkheid. Daaraan bestaat nog steeds veel behoefte, omdat de AVG veel ‘vage’ normen kent. Aan de hand van adviezen, beleidsregels en onderzoeken kan de AP bedrijven helpen bij het voldoen aan de AVG. Natuurlijk zijn er ook bedrijven die de ontwikkelingen rondom de toezichthouder alleen volgen in het kader van de ‘pakkans’. Dan wordt eraan voorbijgegaan dat de bescherming van persoonsgegevens ook van invloed kan zijn op de reputatie van een onderneming. Dat bleek afgelopen vrijdag weer: de Volkskrant stelde vast dat enkele bedrijven zeer slecht omgaan met verzoeken van consumenten om inzage in hun gegevens, terwijl bij Coolblue, Tele2 en De Bijenkorf de vlag uit kan: voor deze bedrijven had de krant niets dan lof.