Duitse toezichthouders spreken elkaar tegen over naambordjes. Toch wel AVG kwestie?

De staatscommissaris voor gegevensbescherming (TLfDI) in de Duitse deelstaat Thüringen, Dr. Lutz Hasse, zegt dat naambordjes in flats wel degelijk onder de AVG vallen. Daarmee weerspreekt hij zijn collega in Beieren die de hele discussie en ophef over de naambordjes en de AVG “onzin” noemde.

Volgens de Beierse toezichthouder hebben de naambordjes niets van doen met een geautomatiseerd proces en vallen ze daarom niet onder de AVG. Punt. Einde discussie zou je dan denken.

Maar de toezichthouder in Thüringen zegt dat overeenkomstig artikel 2, lid 1, de wet ook van toepassing is op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestandssysteem zijn of worden opgeslagen.

Waar draait deze kwestie om? In Duitse en Oostenrijkse media ontstond de afgelopen week veel ophef over het besluit van een woningcorporatie in Wenen om ruim 200.000 naambordjes in portieken van flats en appartementen te verwijderen vanwege de AVG. Op social media werd al snel over de idioterie van de Europese privacywet geschreven.

.
“De vraag is of de naambordjes onderdeel zijn van een bestand”, zegt Dr. Lutz Hasse. En volgens hem is dat zeer waarschijnlijk het geval als de bordjes door de verhuurder worden geplaatst.

Die moet dan immers een planning maken voor het plaatsen, opdracht geven voor het maken van de bordjes en namenlijsten maken voor de huismeester die de bordjes moet plaatsen.

Kortom, de bordjes zijn volgens dr. Lutz wel onderdeel van een bestand.

Moeten alle naambordjes dan toch verwijderd worden?

Dr. Lutz: “Nee, nee, nee!”

Mooi, toch niets aan de hand, denk je dan. Inderdaad ophef om niets. De toezichthouder in Beieren heeft gelijk. Maar helaas… Dr. Lutz zorgt er vervolgens voor dat de naambordjes toch nog voor administratieve AVG-rompslomp kunnen gaan zorgen.

Er moet wel toestemming gevraagd worden

“Plaatsing van de naambordjes is toegestaan indien de betrokkene daarmee heeft ingestemd, instemt met het oog op de toekomst of indien er een andere rechtsgrondslag is (artikel 6, lid 1, AVG)”, zegt dr. Lutz meteen na zijn driewerf nee.

Kortom: volgens de toezichthouder van Thüringen moeten verhuurders al hun huurders nog schriftelijk om toestemming vragen voor de naambordjes.

Hoe kunnen verhuurders aan de AVG voldoen?

Er zijn volgens dr. Lutz onder andere de volgende mogelijkheden om namen op belplaten en brievenbussen op een wettelijk verantwoorde wijze te publiceren:

“De DS-GVO (Duitse afkorting voor de AVG) zorgt voor informatieve zelfbeschikking en biedt ook passende oplossingen voor de Klingelschilder-zaak”, zegt Dr. Lutz Hasse. Hij besluit zijn uitleg opmerkelijk vrolijk met: “en ik ben blij dat de AVG bestaat!”

De verschillen in interpretatie van dezelfde Europese wet door verschillende toezichthouders bewerkstelligt dat waar de Beierse Autoriteit Persoonsgegevens juist voor vreest. Er ontstaat negatieve publiciteit en ophef. Er is veel onduidelijkheid. Daardoor onzekerheid. En daardoor kunnen tegenstanders de Europese privacywet eenvoudig in een kwaad daglicht plaatsen.

Teveel interpretaties mogelijk met de AVG

Er zijn teveel interpretaties mogelijk. Iedere nationale toezichthouder wil zijn eigen stempel drukken. In ieder land spelen andere invalshoeken.

In sommige landen, zoals Duitsland en Frankrijk zijn er naast een nationale Autoriteit Persoonsgegevens ook nog verschillende regionale toezichthouders. In Duitsland zijn er in totaal 18 toezichthouders. Iedere deelstaat heeft een eigen toezichthouder en een eigen site. Dat is vragen om problemen en kritiek.

Google verzweeg datalek in Google Plus. Overeenkomst met Facebook Cambridge Analytica schandaal

Google is sinds maart 2018 op de hoogte van een groot datalek in Google Plus, meldt The Wall Street Journal. In plaats van hiervan melding te maken, werd de fout door Google bewust verzwegen, blijkt uit een intern memo.

Privédata van honderdduizenden gebruikers van het sociale netwerk Google Plus Google lagen door een lek in de software jarenlang voor het oprapen.

Curieus is dat toen Google het datalek ontdekte de hele wereld net in de ban was van het Cambridge Analytica schandaal van Facebook.

Google zou het datalek hebben verzwegen uit angst voor reputatieschade en onderzoek door toezichthouders, onthult The Wallstreet Journal op basis van anonieme bronnen en een intern memo.

Datalek Google Plus bestaat al sinds 2015

Het datalek zou afgelopen maart zijn ontdekt door Google en al sinds 2015 openstaan. Via het lek zou het mogelijk zijn geweest voor externe ontwikkelaars om privédata van honderdduizenden gebruikers te bemachtigen.

Het zou gaan om onder meer volledige namen, e-mailadressen, geboortedata, woonplaatsen en profielfoto’s. Telefoonnummers en privéberichten van het sociale netwerk zouden wel afgeschermd zijn geweest.

Google-ceo Sundar Pichai was op de hoogte

Na de ontdekking verscheen de bewuste interne memo volgens de krant op het bureau van Google-ceo Sundar Pichai. Daarin stond dat een interne commissie van juridische medewerkers had bepaald om het voorval niet te melden.

De reden zou zijn dat er geen bewijs was dat externe ontwikkelaars de gegevens ook daadwerkelijk zou hebben misbruikt.

Google Plus wordt stopgezet

Maandagavond 8 oktober maakte Google pas in een reactie bekend dat het stappen onderneemt. In een uitgebreide blogpost, wordt aangekondigd dat het consumentengedeelte van Google Plus zal worden stopgezet.

Timing van Google blogpost is opvallend

De timing van de blogpost van Google is opvallend. Exact 24 uur voordat Google tijdens een Made by Google-evenement veel nieuwe gadgets tentoonstelt en daarmee de nieuwssites overspoelt.

Google Nederland maakte dinsdagochtend bijvoorbeeld bekend de Google Home speakers in Nederland uit te brengen. Dit nieuws werd prompt door radiobulletins opgepikt. Over de hack van Google Plus werd niets vermeld.

Google Plus bestaat sinds 2011 en moest concurreren met Facebook. Het sociale netwerk is ondanks verschillende pogingen van Google qua gebruikersaantallen nooit van de grond gekomen.

Verdeeldheid onder twee Autoriteiten Persoonsgegevens over uitleg AVG bij schoolfoto’s.

Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.

Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.

Hoe pakken ze dat in de rest van Europa aan?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.

De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.

Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.

De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.

De schoolfotokwestie leeft ook in Duitsland.

Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.

Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?

In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.

In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.

Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.

In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.

Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.

Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.

Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.

Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.

De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.

Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.

Toezichthouder in Beieren vindt dat de school wel opdrachtgever is

De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.

De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.

Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.

Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.

Twee toezichthouders, twee verschillende meningen

De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.

Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.

Wat vindt de Nederlandse Autoriteit Persoonsgegevens?

De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.

Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.

Welke leerlingen mogen gefotografeerd worden?

Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?

Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.

Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.

Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.

Onherkenbaar maken niet nodig als één leerling toestemming intrekt

Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?

Nee! Dat is niet nodig.

De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.

De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.

Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.

Hoe controleren toezichthouders naleving van privacy-, consumenten- en mededingingswetten? Door undercover te opereren en slimme samenwerking

Hoe groot is de pakkans voor organisaties die zich niet aan de Algemene Verordening Gegevensbescherming (AVG) houden eigenlijk?

Hoe controleren Europese toezichthouders de naleving van wet- en regelgeving die ondernemers en consumenten moeten beschermen tegen schimmige gevaarlijke praktijken van malafide of onprofessionele organisaties?

Veel Nederlandse ondernemers denken dat het risico op een forse boete wegens het niet naleven van de privacywet klein is. Ze beseffen zich niet dat de Autoriteit Gegevensbescherming samen kan werken met andere Europese toezichthouders. En dan gaat het niet alleen om privacywetgeving. Zij kunnen – sterker moeten – sinds 17 januari 2018 op basis van de Europese CPC-verordening regelmatig hun krachten bundelen.

Welke toezichthouders werken samen?

Het betreft dan toezichthouders zoals de Autoriteit Persoonsgegevens (AP), Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM).

De CPC-verordening voorziet onder meer in de internationale samenwerking tussen toezichthoudende autoriteiten, een mystery shopping bevoegdheid van toezichthouders en het gelasten van tussenpersonen om te assisteren bij het beschermen van consumentenrechten.

Toezichthouders mogen undercover opereren

De toezichthouders mogen zich undercover registreren om te controleren of een dienst zich aan de regels houdt.

Op basis van de verordening kunnen autoriteiten binnen de Europese Unie elkaar om bijstand verzoeken bij een inbreuk op consumentenrechten.

De aangezochte autoriteit is in beginsel verplicht tot medewerking. Ze kunnen gemotiveerd weigeren, bijvoorbeeld wanneer er al maatregelen getroffen zijn of als de aangezochte autoriteit concludeert dat er geen inbreuk plaatsvindt.

De Europese Commissie bemiddelt als de verschillende autoriteiten het oneens zijn.

Bij wijdverbreide inbreuken in minimaal drie lidstaten kunnen de betrokken autoriteiten een gecoördineerde actie beginnen.

Zoals bijvoorbeeld sinds donderdag 26 september 2018 gebeurt. Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden op verzoek van de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen. 

Verder introduceert de verordening zogenaamde ‘sweeps’: gezamenlijke acties van toezichthouders van alle lidstaten om de naleving van consumentenrechten te controleren en inbreuken op te sporen.

Uitlokking is niet toegestaan

Omdat effectief toezicht in veel situaties niet mogelijk is wanneer de identiteit van de toezichthouder bekend is, schrijft de verordening voor dat de bevoegde toezichthouder mag opereren onder een fictieve identiteit. Daarmee mag hij een overeenkomst aangaan of een oriënterend gesprek met een handelaar, maar uiteraard zonder uitlokking.

Gebruik van een fictieve identiteit moet noodzakelijk en proportioneel zijn, zowel ten aanzien van de zwaarte van de vermoede overtreding als de mogelijkheden om alternatieve toezichtsbevoegdheden in te zetten.

Werkwijze is sinds 2015 al legitiem

Ondanks dat nu wordt voorzien in een wettelijke grondslag voor toezichthouders, volgt uit jurisprudentie dat dit middel reeds wordt toegepast.

Het College van Beroep voor het bedrijfsleven heeft in haar uitspraak van 8 juli 2015 aangaande het beroep van twee bedrijven tegen de ACM geoordeeld dat vanwege de doeltreffendheid van het onderzoek naar de naleving het anoniem opereren in beginsel toelaatbaar is.

Bescherming comsuntenbelangen

De verordening heeft als doel dat dat autoriteiten in de digitale omgeving snel en doeltreffend een einde kunnen maken aan inbreuken op regels ter bescherming van consumentenbelangen.

Dit geldt met name wanneer een handelaar zijn identiteit verbergt of zich elders binnen de Unie of in een derde land vestigt om aan handhaving te ontkomen.

Bijvoorbeeld partijen die illegaal financiële producten aanbieden via het internet slagen erin om hun negotie voort te zetten door informatieverzoeken en andere acties van de AFM botweg te negeren; zoals verstrekkers van (flits)kredieten die zich vanuit andere lidstaten op Nederlandse consumenten richten.

Malafide bedrijven direct aanpakken

Ook via aanbieders van communicatiediensten, zoals hosting- en/of domeinnaamaanbieder kunnen toezichthouders malafide aanbieders indirect op de korrel nemen.

Met een zogenaamde zelfstandige last, zoals het laten verwijderen van digitale inhoud of een verplichte waarschuwing aan consumenten tonen, kunnen via hostingproviders ernstige inbreuken worden voorkomen, beperkt of beëindigd.

Er is daarbij wel toestemming nodig van de rechter-commissaris in Rotterdam voordat een toezichthouder over kan gaan tot het opleggen van zo’n zelfstandige last.

Deze rechter-commissaris gaat in principe over het strafrecht, maar kan middels deze taakbedeling ‘expertise opbouwen’ over het bestuursrecht en voor de bevoegde autoriteiten fungeren als vast aanspreekpunt.

Klanttevredenheidsonderzoek per e-mail vanwege AVG verboden? Wat is de impact van Duitse jurisprudentie in Nederland?

Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.

Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?

De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.

Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).

Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.

Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.

De zaak

Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:

Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.

Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”

De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.

Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?

De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.

Het besluit van de BGH

De BGH verklaart dat:

  • een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
  • het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht

Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.

En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.

De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.

De betekenis van de Duitse uitspraak

Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.

De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.

Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.

Is klanttevredenheidsonderzoek per e-mail nu verboden?

Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.

Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.

Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de AVG. Privacywet ‘best ingewikkeld’ volgens Aleid Wolfsen

Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.

De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.

Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”

Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.

AVG is volgens Aleid Wolfsen best ingewikkeld

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”

De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”

Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd

De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.

Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.

De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.

Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.

Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).

EU haalt vlak voor invoering GDPR druk van de ketel. Niet meteen hoge boetes

Organisaties die op 25 mei 2018 nog niet klaar zijn voor de Europese privacywet hoeven zich nog niet meteen zorgen te maken om torenhoge boetes. EU-commissaris voor Justitie Věra Jourová haalt de druk van de ketel omdat de wet in 8 Europese landen nog niet bekrachtigd is.

“De nationale toezichthoudende autoriteiten zullen geen sanctiemachines zijn”, beloofde EU-Commissaris voor Justitie Věra Jourová volgens de Duitse krant Welt tijdens een bezoek in Berlijn.

Jourová gaat ervan uit dat de toezichthouders – in Nederland is dat de Autoriteit Persoonsgegevens (AP) – in de eerste plaats zullen adviseren en helpen bij problemen met de toepassing van de Europese basisverordening voor gegevensbescherming (GDPR), in plaats van vanaf de eerste dag sancties op te leggen.

De Europese privacywet GDPR werd twee jaar geleden door de EU bekrachtigd. Alle Europese lidstaten kregen twee jaar de tijd om de regelgeving nationaal door de eigen parlementen te laten bekrachtigen.

In Nederland is de privacywet deze week door de Eerste Kamer met een hamerslag aangenomen.

Volgens de Commissie hebben acht EU-landen de GDPR echter niet tijdig in nationaal recht weten om te zetten. Het betreft België, Bulgarije, Griekenland, Litouwen, Slovenië, Tsjechië, Hongarije en Cyprus.

Ondertussen zijn ook veel Europese organisaties nog niet klaar voor de GDPR. Bij sommige bedrijven die de boel nog niet op orde hebben heerst volgens Věra Jourová een paniekstemming uit angst voor hoge boetes. Voorlopig is dat volgens haar onnodig.

De EU-commissaris heeft zo de druk van het bedrijfsleven enigszins verlicht.

Brancheorganisaties hebben de afgelopen weken herhaaldelijk duidelijk gemaakt dat veel van hun leden de regels niet volledig ten uitvoer zullen hebben gelegd binnen de gestelde termijn.

Věra Jourová wees er echter ook op dat “officieel geen verdere overgangsfase is gepland”.

Hoe hard de autoriteiten op nationaal niveau zullen optreden tegen schendingen van de privacyregels, is aan hen. De Autoriteit Gegevensbescherming in Nederland heeft de afgelopen dagen al meerdere malen aangegeven niet meteen sancties te zullen opleggen, wel waarschuwingen.