Europese toezichthouders voeren gezamenlijk de GDPR controledruk op. Hoeveel risico loopt u?

Denkt u dat het met de handhaving van de Algemene Verordening Gegevensbescherming (AVG) in Nederland uiteindelijk wel mee zal vallen? Dan is het in het kader van risicomanagement goed om te analyseren of er samenhang zit in de maatregelen die de verschillende toezichthouders in heel Europa de laatste tijd treffen om effectief te controleren.

De Nederlandse Autoriteit Persoonsgegevens (AP) maakte in juli – twee maanden na de in werking treding van de Europese privacywet GDPR – bekend dat is begonnen met een verkennend onderzoek bij 30 grote Nederlandse bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De Nederlandse AP voert de steekproef uit bij bedrijven in industrie en metaal, een waterleidingbedrijf, in de bouw, handel, horeca, bij een reisorganisatie, een communicatiebureau, in de financiële dienstverlening, in de zakelijke dienstverlening en in de zorg. De organisaties zijn verspreid over heel Nederland gevestigd.

Dertig bedrijven slechts, denken veel mensen. Dat valt nog mee. Het risico dat een organisatie er bij een steekproef uit wordt gepikt valt dan enorm mee.

Iedereen die nog niet of nauwelijks begonnen is met het nemen van maatregelen om te voldoen aan de AVG is geneigd om nog even af te wachten. Logisch, als je het bekijkt vanuit het Nederlandse gedoog perspectief.

Maar is dat terecht?

Het Nederlandse handhavingsbeleid staat namelijk duidelijk niet op zichzelf. De AVG is een nieuwe Europese wet. Iedere Europese lidstaat heeft een eigen toezichthouder. Duitsland heeft er zelfs 16, een toezichthouder in iedere Duitse deelstaat. Al die toezichthouders werken samen. Wisselen ervaringen uit. Bouwen druk op.

De Autoriteit Gegevensbescherming van de Duitse deelstaat Nedersaksen is begonnen met de eerste controle op naleving van de nieuwe Europese privacywet.

Nedersaksen is een van de 16 deelstaten (Bundesländer) van Duitsland. Iedere deelstaat heeft een eigen toezichthouder gegevensbescherming. En al die Duitse toezichthouders blijken tegelijk met de Nederlandse Authoriteit Persoonsgegevens (AP) met een soortgelijke controle te zijn begonnen. Dat is geen toeval.

50 bedrijven in de Duitse deelstaat Nedersaksen (waaronder 20 grote en 30 middelgrote ondernemingen), met hoofdzetel in Nedersaksen, moeten duidelijk maken wat zij hebben gedaan om te voldoen aan de DSGVO. Net als 30 Nederlandse bedrijven.

DSGVO is de Duitse afkorting voor Datenschutz-Grundverordnung (DSGVO). Het is dezelfde Europese privacywet die in Nederland bekend staat als Algemene Verordening Gegevensbescherming (AVG).

In Groot-Brittannië zijn door de Britse toezichthouder ICO inmiddels 152 audits uitgevoerd bij bedrijven en organisaties. De Britten publiceren heel transparant de naam van iedere organisatie waar een audit wordt uitgevoerd op de website.

De Beierse autoriteit voor gegevensbescherming (BayLDA) heeft dinsdag 24 juli 2018 in München inzicht gegeven in de ervaringen die de Europese toezichthouders tot dusver hebben opgedaan met incidenten op het gebied van gegevensbescherming en wat organisaties die de regels overtreden kunnen verwachten.

Dat gebeurde tijdens het IAPP-evenement “München KnowledgeNet” over het thema “Data Breaches and Cyber Attacks – What you should or should not do”.

De Beierse toezichthouder gaf voorbeelden van maatregelen en tips om controles of boetes te voorkomen.

Allereerst dienen organisaties niet te lichtzinnig om te gaan met privacyincidenten die slechts een klein aantal personen treft. De toezichthouder laat maatregelen afhangen van het risico van de individuele getroffen persoon. Zelfs een enkele verkeerd doorgestuurde brief of e-mail kan – afhankelijk van de inhoud ervan – een meldingsplicht doen ontstaan voor zowel de autoriteiten als de betrokken personen.

Wat gebeurt er bijvoorbeeld als een laptop verloren is geraakt en de harde schijf niet versleuteld is?

Als de organisatie het verlies adequaat vermeldt in het verwerkingsregister en duidelijk kan maken waarom geen maatregelen zijn getroffen hoeft er geen boete te worden opgelegd als de toezichthoudende autoriteit later toch tot de conclusie komt dat een andere maatregel passender zou zijn geweest. Als de onderbouwing van de ‘verkeerde’ maatregelen die de organisatie heeft genomen naar aanleiding van het laptopincident volgens de autoriteit redelijk is kan een organisatie er zonder kleerscheuren vanaf komen. Daar is inmiddels ook jurisprudentie voor.

Deskundigen adviseren bij ieder incident waarbij wordt getwijfeld of er officieel een datalekprocedure moet worden opgestart in ieder geval telefonisch contact op te nemen met de toezichthouder voordat er een daadwerkelijke melding wordt gedaan. Het voordeel hiervan zou zijn dat enerzijds de verantwoordelijken niet onnodig hoeven te rapporteren en zo in de schijnwerpers van de toezichthouders komen te staan en dat anderzijds de toezichthouders niet met een groot aantal onnodige meldingen worden geconfronteerd, wat nu helaas vaker het geval is.

In het najaar van 2018 zal waarschijnlijk al een evaluatie van Europese incidenten op het gebied van cyberveiligheid en gegevensbescherming plaatsvinden. Deze evaluatie zal ook betrekking hebben op de structuur van de processen voor het melden van gegevensbeschermingsincidenten aan onderaannemers, met name het melden van gegevensbeschermingsincidenten aan onderaannemers.

In het verleden zijn er bijna geen incidenten op het gebied van gegevensbescherming gemeld door degenen die verantwoordelijk zijn voor een onderaannemer – maar het kan volgens de Beierse toezichthouder niet zo zijn dat onderaannemers – vooral in onveilige derde landen – geen incidenten op het gebied van gegevensbescherming hebben.