Wat is de AVG ook alweer?

De uniforme dataprotectieregels waar de EU bijna een decennium aan heeft gewerkt staat internationaal bekend als de General Data Protection Regulation, oftewel GDPR. Lidstaten implementeren deze Europese Verordening, zodat in de hele unie dezelfde eisen gelden (in tegenstelling tot een Europese Richtlijn, waar lidstaten zelf iets van bakken). Zo geldt er wel een Richtlijn voor dataprotectie voor politie en justitie - die zijn uitgezonderd van de AVG, om voor de hand liggende redenen.

Met de wet begrijpen bedrijven die hier opereren waar ze aan toe zijn en hoeven ze niet te voldoen aan 28 verschillende regionale privacywetten. In Nederland is dat de Algemene Wet Verordening Gegevensverwerking (AVG) en dit juridische instrument vervangt de eerdere Wet Bescherming Persoonsgegevens (Wbp). De AVG geeft burgers  onder meer het recht op te vragen welke persoonsgegevens bedrijven over ze hebben, deze in te zien en om ze te laten verwijderen.

Het gevolg is dat organisaties zicht moeten hebben op welke persoonsgegevens worden verzameld, waarom die gegevens nodig zijn voor de bedrijfsvoering, met welke partijen ze worden gedeeld en hoe lang ze worden bewaard. Dat betekende voor bedrijven waar privacy en data nooit een corebusiness was een flinke aanpassing: ze moesten opeens weten wat ze aan gegevens in huis hadden en hoe deze werden beschermd.

Waarom was er opeens zoveel paniek om de AVG?

Dat had alles te maken met de stok waar de regelgeving mee zwaaide: een forse boete. Bij een klacht tegen een bedrijf dat niet GDPR-proof was, kon oplopen tot vier procent van de wereldwijde omzet van een bedrijf - dus niet eens de winst - afhankelijk van het type data, soort bedrijf en de ernst van de schending. Het spookbeeld van een miljoenenboete voor het incorrect verwerken van gegevens leverde een tijdje AVG-paniek op. Het zorgde onder meer voor een enorme stroom aan smeekbedes in je e-mailpostvak om nieuwe voorwaarden voor nieuwsbriefverzending te accepteren en de vele GDPR-platformmeldingen ("we hechten waarde aan uw privacy") die gebruikers te zien krijgen als ze een site bezoeken.

De reden dat de boeteclausule werd bedacht, had waarschijnlijk veel te maken met eerdere dataprotectieplannen van de periode voor 2012, toen serieus werk werd gemaakt van de General Data Protection Regulation. De eerste plannen leken ertoe te leiden dat de EU een tandeloze wetgeving zou ontwerpen met veel boos geheven vingers richting bedrijven, zoals regelmatig gebeurde met een privacyboete hier en daar van een paar ton voor een enorme multinational, maar geen daadwerkelijke consequenties. De uiteindelijk wetgeving werd een Verordening in plaats van een Richtlijn en schreef dynamische boeteniveaus voor, zodat ook enorme dataverwerkers als Google en Facebook zouden opletten.

Moeten bedrijven al hun gegevens op verzoek overhandigen?

Hoewel het lijkt te gaan om data die een persoon kunnen identificeren, oftewel persoonsgegevens, zoals namen, adressen en meer tot een identiteit herleidbare data, gaat het onder de AVG om alle documenten en gegevens waar deze gegevens in voorkomen. Het is om die reden voor bedrijven verstandig om data te minimaliseren en zoveel mogelijk bij opslag al rekening te houden met de AVG, zodat die gegevens niet overal in de organisatie rondzwerven. Een van de doelen van de wetgeving is dan ook om privacy by design te stimuleren, zodat organisaties bij het ontwerpen van hun systemen kijken naar het verzamelen van enkel de gegevens die van belang zijn voor bedrijfsvoering, niets meer.

Hoeveel klachten heeft de AVG opgeleverd?

Burgers die AVG-schending vermoeden omdat ze bijvoorbeeld nul op het rekest krijgen, kunnen een klacht indienen bij de autoriteit persoonsgegevens (AP). Deze organisatie meldde in mei van dit jaar dat er in Nederland gedurende 2018 in totaal 11.000 klachten zijn binnengekomen over vermeende privacyschendingen en dat daar tot mei nog eens 9.000 zijn bijgekomen. Ook verdubbelde het aantal datalekmeldingen aan de AP vorig jaar ten opzichte van 2017. Op Europees niveau kwam het aantal klachten gedurende 2018 uit op meer dan 94.000, zo meldde het European Data Protection Board in februari.

Hoeveel boetes zijn er daadwerkelijk uitgedeeld?

Tot nu toe zijn dat er slechts drie geweest. Veruit de grootste was voor Google. Dat bedrijf was volgens Europese waakhonden niet duidelijk genoeg over de toestemming die gebruikers moeten geven over het delen van data. De boete daarvoor kwam uit op 50 miljoen euro. In Nederland is er slechts één AVG-gerelateerde boete geweest. Uber kreeg 6 ton boete voor het niet binnen 72 uur melden van een datalek in 2016, dus technisch volgde die vanuit de eerdere Wbp - inmiddels vervangen door de AVG.