“AVG handhaven? Zullen we per 25 mei doen ook!”

Microsoft, Facebook. De Autoriteit Persoonsgegevens (AP) heeft vorig jaar al aangetoond niet te dralen om de groten der aarde aan te pakken als het om schending van privacygevoelige informatie gaat. Eind mei 2017 oordeelde de AP dat socialmediabedrijf Facebookgebruikers niet duidelijk informeert over gebruik van persoonsgegevens.

Na 25 mei kan dat leiden tot boetes van maximaal miljarden euro’s. Privacy waakhond Aleid Wolfsen legde destijds uit dat een dwangsom kan leiden tot een onvoorwaardelijke boete als bedrijven niets tegen de overtredingen doen. Fout is fout en boetes kunnen oplopen tot 20 miljoen euro of 4% van de omzet als die meer is dan 20 miljoen euro. Per overtreding. “En kwantumkorting geven we niet.” Voor Facebook, met een omzet van bijna 26 miljard dollar drie overtredingen, had dat 2,8 miljard euro boete betekend.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageert.

Is de AVG afdoende om lekken tegen te gaan, zou er niet ook meer aan cybersecurity moeten worden gedaan en zelfs afgedwongen?

“Persoonsgegevens moeten in voldoende mate worden beveiligd. Bedrijven, organisaties en instellingen moeten aan de AVG voldoen. Is de beveiliging niet op orde? Dan overtreden ze de privacyregels. Ondanks een goede beveiliging kan een datalek nog steeds voorkomen. Deze datalekken moeten in veel gevallen aan ons gemeld worden en ook aan degenen wiens data is gelekt. Zo kunnen wij erop toezien dat de beveiliging verbeterd wordt en kunnen burgers maatregelen nemen om schade te beperken door bijvoorbeeld gelekte wachtwoorden te veranderen. Er zijn ook onderwerpen die niet direct binnen ons toezicht liggen, waar verbetering mogelijk is. Veel hard- en software is vanuit beveiligingsperspectief maar beperkt houdbaar als de fabrikant stopt met beveiligingsupdates. Zowel fabrikanten als afnemers moeten daar zelf rekening mee houden. Maar over regelgeving wordt ook steeds vaker gesproken. Toenemende transparantie over beveiligingsproblemen bevordert de motivatie om die problemen op te lossen en ook om hierin samen te werken.”

Lees ook: Is AVG een stok achter de deur?

Er zouden nogal wat bedrijven en organisaties achterlopen met invoering van maatregelen om aan de AVG te voldoen. Heeft u de indruk dat Nederland klaar is of wordt er nog geworsteld?

“Wij zien de datum van 25 mei 2018 met vertrouwen tegemoet. Wij houden toezicht op hoe organisaties de AVG naleven. En als het nodig is, gaan we ook handhaven. We realiseren ons dat het best wat werk is voor bedrijven en organisaties om alle processen en producten aan te passen en AVG-proof te laten zijn. Tegelijkertijd is het al twee jaar bekend dat de AVG vanaf 25 mei aanstaande geldt. Iedereen heeft dus ruim voldoende tijd gehad zich voor te bereiden. We horen verschillende geluiden van bedrijven en organisaties. Sommige zijn al jaren bezig met de voorbereiding en lijken hun zaakjes goed op orde te hebben. Andere komen van ver en hebben nog veel werk aan de winkel. De Autoriteit Persoonsgegevens probeert zoveel mogelijk begeleiding te bieden aan organisaties die zich voorbereiden op de start van de AVG. We zijn een voorlichtingscampagne gestart, staan op beurzen en hebben een regelhulp geïntroduceerd. We merken dat het aantal vragen bij onze afdeling publieksvoorlichting toeneemt.”

Strijkt u na 25 mei nog met uw hand over het hart bij overtredingen?

“De AVG geldt vanaf die datum. Wij hebben veel energie gestoken om iedereen te informeren over de Algemene Verordening Persoonsgegevens en de consequenties. Als het nodig is kunnen we vanaf die datum ook handhaven. Dat zullen we dan doen ook.”

Wanneer gaat u de eerste boete uitdelen?

“Kan ik niet aangeven. Maar het is wel goed om te benadrukken dat een sanctie geen doel op zichzelf is. We willen vooral problemen oplossen. Dat betekent dat we steeds kijken welk handhavingsmiddel het meeste effect heeft. Soms kan een snelle interventie het beste werken; dus een briefje of telefoontje naar de organisatie dat men mogelijk in overtreding is. Soms is een sanctie in de vorm van een last of boete beter op zijn plaats. De boetebevoegdheden van de Autoriteit Persoonsgegevens worden onder de AVG uitgebreid: het opleggen ervan wordt laagdrempeliger. We hoeven niet meer te bewijzen dat er opzet in het spel is. De boetehoogte is pittig. En kunnen oplopen tot 20 miljoen euro of 4 procent van de jaaromzet.”

Weken bedrijven volgens u voldoende samen op het gebied van bescherming en kennisuitwisseling als het om de AVG gaat?

“Die samenwerking tussen bedrijven om persoonsgegevens te beschermen is belangrijk. En dat moedigen we dan ook aan.”

Heeft u de indruk dat er evenredig aandacht is voor de juridische kant van de AVG als voor de IT (beveiliging van computersystemen) zijde?

“Bij de Algemene Verordening Gegevensbescherming draait het natuurlijk om meer dan alleen de beveiliging van computersystemen. In de AVG gaat het bijvoorbeeld ook om de grondslagen waarop een verwerking überhaupt plaatsvindt. De technologische ontwikkelingen staan niet stil. Dat betekent dat persoonsgegevens ook op meer manieren verwerkt kunnen worden. De AVG dwing bedrijven om eerst goed na te denken of iets wel mag, ongeacht de onderliggende IT.”