Europese toezichthouders voeren gezamenlijk de GDPR controledruk op. Hoeveel risico loopt u?

Denkt u dat het met de handhaving van de Algemene Verordening Gegevensbescherming (AVG) in Nederland uiteindelijk wel mee zal vallen? Dan is het in het kader van risicomanagement goed om te analyseren of er samenhang zit in de maatregelen die de verschillende toezichthouders in heel Europa de laatste tijd treffen om effectief te controleren.

De Nederlandse Autoriteit Persoonsgegevens (AP) maakte in juli – twee maanden na de in werking treding van de Europese privacywet GDPR – bekend dat is begonnen met een verkennend onderzoek bij 30 grote Nederlandse bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De Nederlandse AP voert de steekproef uit bij bedrijven in industrie en metaal, een waterleidingbedrijf, in de bouw, handel, horeca, bij een reisorganisatie, een communicatiebureau, in de financiële dienstverlening, in de zakelijke dienstverlening en in de zorg. De organisaties zijn verspreid over heel Nederland gevestigd.

Dertig bedrijven slechts, denken veel mensen. Dat valt nog mee. Het risico dat een organisatie er bij een steekproef uit wordt gepikt valt dan enorm mee.

Iedereen die nog niet of nauwelijks begonnen is met het nemen van maatregelen om te voldoen aan de AVG is geneigd om nog even af te wachten. Logisch, als je het bekijkt vanuit het Nederlandse gedoog perspectief.

Maar is dat terecht?

Het Nederlandse handhavingsbeleid staat namelijk duidelijk niet op zichzelf. De AVG is een nieuwe Europese wet. Iedere Europese lidstaat heeft een eigen toezichthouder. Duitsland heeft er zelfs 16, een toezichthouder in iedere Duitse deelstaat. Al die toezichthouders werken samen. Wisselen ervaringen uit. Bouwen druk op.

De Autoriteit Gegevensbescherming van de Duitse deelstaat Nedersaksen is begonnen met de eerste controle op naleving van de nieuwe Europese privacywet.

Nedersaksen is een van de 16 deelstaten (Bundesländer) van Duitsland. Iedere deelstaat heeft een eigen toezichthouder gegevensbescherming. En al die Duitse toezichthouders blijken tegelijk met de Nederlandse Authoriteit Persoonsgegevens (AP) met een soortgelijke controle te zijn begonnen. Dat is geen toeval.

50 bedrijven in de Duitse deelstaat Nedersaksen (waaronder 20 grote en 30 middelgrote ondernemingen), met hoofdzetel in Nedersaksen, moeten duidelijk maken wat zij hebben gedaan om te voldoen aan de DSGVO. Net als 30 Nederlandse bedrijven.

DSGVO is de Duitse afkorting voor Datenschutz-Grundverordnung (DSGVO). Het is dezelfde Europese privacywet die in Nederland bekend staat als Algemene Verordening Gegevensbescherming (AVG).

In Groot-Brittannië zijn door de Britse toezichthouder ICO inmiddels 152 audits uitgevoerd bij bedrijven en organisaties. De Britten publiceren heel transparant de naam van iedere organisatie waar een audit wordt uitgevoerd op de website.

De Beierse autoriteit voor gegevensbescherming (BayLDA) heeft dinsdag 24 juli 2018 in München inzicht gegeven in de ervaringen die de Europese toezichthouders tot dusver hebben opgedaan met incidenten op het gebied van gegevensbescherming en wat organisaties die de regels overtreden kunnen verwachten.

Dat gebeurde tijdens het IAPP-evenement “München KnowledgeNet” over het thema “Data Breaches and Cyber Attacks – What you should or should not do”.

De Beierse toezichthouder gaf voorbeelden van maatregelen en tips om controles of boetes te voorkomen.

Allereerst dienen organisaties niet te lichtzinnig om te gaan met privacyincidenten die slechts een klein aantal personen treft. De toezichthouder laat maatregelen afhangen van het risico van de individuele getroffen persoon. Zelfs een enkele verkeerd doorgestuurde brief of e-mail kan – afhankelijk van de inhoud ervan – een meldingsplicht doen ontstaan voor zowel de autoriteiten als de betrokken personen.

Wat gebeurt er bijvoorbeeld als een laptop verloren is geraakt en de harde schijf niet versleuteld is?

Als de organisatie het verlies adequaat vermeldt in het verwerkingsregister en duidelijk kan maken waarom geen maatregelen zijn getroffen hoeft er geen boete te worden opgelegd als de toezichthoudende autoriteit later toch tot de conclusie komt dat een andere maatregel passender zou zijn geweest. Als de onderbouwing van de ‘verkeerde’ maatregelen die de organisatie heeft genomen naar aanleiding van het laptopincident volgens de autoriteit redelijk is kan een organisatie er zonder kleerscheuren vanaf komen. Daar is inmiddels ook jurisprudentie voor.

Deskundigen adviseren bij ieder incident waarbij wordt getwijfeld of er officieel een datalekprocedure moet worden opgestart in ieder geval telefonisch contact op te nemen met de toezichthouder voordat er een daadwerkelijke melding wordt gedaan. Het voordeel hiervan zou zijn dat enerzijds de verantwoordelijken niet onnodig hoeven te rapporteren en zo in de schijnwerpers van de toezichthouders komen te staan en dat anderzijds de toezichthouders niet met een groot aantal onnodige meldingen worden geconfronteerd, wat nu helaas vaker het geval is.

In het najaar van 2018 zal waarschijnlijk al een evaluatie van Europese incidenten op het gebied van cyberveiligheid en gegevensbescherming plaatsvinden. Deze evaluatie zal ook betrekking hebben op de structuur van de processen voor het melden van gegevensbeschermingsincidenten aan onderaannemers, met name het melden van gegevensbeschermingsincidenten aan onderaannemers.

In het verleden zijn er bijna geen incidenten op het gebied van gegevensbescherming gemeld door degenen die verantwoordelijk zijn voor een onderaannemer – maar het kan volgens de Beierse toezichthouder niet zo zijn dat onderaannemers – vooral in onveilige derde landen – geen incidenten op het gebied van gegevensbescherming hebben.

EU haalt vlak voor invoering GDPR druk van de ketel. Niet meteen hoge boetes

Organisaties die op 25 mei 2018 nog niet klaar zijn voor de Europese privacywet hoeven zich nog niet meteen zorgen te maken om torenhoge boetes. EU-commissaris voor Justitie Věra Jourová haalt de druk van de ketel omdat de wet in 8 Europese landen nog niet bekrachtigd is.

“De nationale toezichthoudende autoriteiten zullen geen sanctiemachines zijn”, beloofde EU-Commissaris voor Justitie Věra Jourová volgens de Duitse krant Welt tijdens een bezoek in Berlijn.

Jourová gaat ervan uit dat de toezichthouders – in Nederland is dat de Autoriteit Persoonsgegevens (AP) – in de eerste plaats zullen adviseren en helpen bij problemen met de toepassing van de Europese basisverordening voor gegevensbescherming (GDPR), in plaats van vanaf de eerste dag sancties op te leggen.

De Europese privacywet GDPR werd twee jaar geleden door de EU bekrachtigd. Alle Europese lidstaten kregen twee jaar de tijd om de regelgeving nationaal door de eigen parlementen te laten bekrachtigen.

In Nederland is de privacywet deze week door de Eerste Kamer met een hamerslag aangenomen.

Volgens de Commissie hebben acht EU-landen de GDPR echter niet tijdig in nationaal recht weten om te zetten. Het betreft België, Bulgarije, Griekenland, Litouwen, Slovenië, Tsjechië, Hongarije en Cyprus.

Ondertussen zijn ook veel Europese organisaties nog niet klaar voor de GDPR. Bij sommige bedrijven die de boel nog niet op orde hebben heerst volgens Věra Jourová een paniekstemming uit angst voor hoge boetes. Voorlopig is dat volgens haar onnodig.

De EU-commissaris heeft zo de druk van het bedrijfsleven enigszins verlicht.

Brancheorganisaties hebben de afgelopen weken herhaaldelijk duidelijk gemaakt dat veel van hun leden de regels niet volledig ten uitvoer zullen hebben gelegd binnen de gestelde termijn.

Věra Jourová wees er echter ook op dat “officieel geen verdere overgangsfase is gepland”.

Hoe hard de autoriteiten op nationaal niveau zullen optreden tegen schendingen van de privacyregels, is aan hen. De Autoriteit Gegevensbescherming in Nederland heeft de afgelopen dagen al meerdere malen aangegeven niet meteen sancties te zullen opleggen, wel waarschuwingen.

Niet alleen de Autoriteit Persoonsgegevens legt hoge boetes op voor onjuiste algemene voorwaarden

Online ondernemers moeten bij het opstellen van de algemene voorwaarden voor hun website niet alleen rekening houden met de nieuwe privacywet AVG / GDPR, maar ook met andere regelgeving. Er zijn meerdere instanties die daar op toezien. Wie niet zorgvuldig aandacht besteedt aan de opzet van de algemene voorwaarden kan hoge boetes opgelegd krijgen.

Veel ondernemers denken dat het voorlopig nog wel mee zal vallen met de boetes die de Autoriteit Persoonsgegevens op zal leggen aan bedrijven die hun website niet op orde hebben. Zij vergeten echter dat er ook andere instanties zijn die momenteel al forse boetes opleggen aan bedrijven die hun zaken niet op orde hebben.

De Autoriteit Consument en Markt (ACM) heeft bijvoorbeeld in oktober 2016 Coolcat en vier andere webwinkels in de modebranche beboet voor in totaal EUR 590.000 omdat zij op hun websites consumenten onvoldoende informeerden over hun rechten wanneer zij binnen de bedenktijd van hun aankoop willen afzien.

De ACM was op de onjuiste informatie gewezen door consumentenorganisaties die op hun beurt weer waren ingeschakeld door consumenten.

De rechtbank in Rotterdam heeft op 19 april 2018 deze boetes bekrachtigd.

De uitspraak van de rechtbank en de hoge boetes leren dat het voor ondernemers raadzaam is om deskundige hulp in te schakelen om hun algemene voorwaarden mee door te nemen.

Het is onverstandig om snel de algemene voorwaarden van een concurrent te kopiëren. Vertrouw ook niet blindelings op degene die uw website heeft gebouwd. Dat kan voor u duur uitpakken. Schakel iemand in die deskundig advies kan geven op het gebied van de privacywetgeving en weet met welke andere wet- en regelgeving in  uw branche ook rekening gehouden moet worden.

Bovendien kunnen er ook copyrights op algemene voorwaarden van concurrenten liggen als die zijn gemaakt door deskundige bureaus of advocaten.