Geplaatst op 16/05/2019

De AVG: waar staan we na 1 jaar handhaven?


25 mei 2018 was een datum waar veel bedrijven met vrees naar uitkeken. Want vanaf dat moment werd de Algemene Verordening Gegevensbescherming (AVG) officieel gehandhaafd. Organisaties hebben alle zeilen bijgezet om op tijd te voldoen aan de nieuwe privacywetgeving. Wijzelf incluis.

Het geheugen opfrissen
Persoonsgegevens worden volop verzameld en gedeeld. Het is een gevolg van onze gedigitaliseerde samenleving. Maar onduidelijk was waar deze gegevens werden opgeslagen en wie er toegang toe had. Daarmee was de vorige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp), verouderd.

Gevreesde wetgeving
Op het moment dat de AVG in werking trad, kraaide er geen haan naar. Maar toen bekend werd dat alle organisaties op 25 mei 2018 volledig AVG-proof moesten zijn, was de paniek groot. Wat betekent dat voor de wijze waarop ik klantgegevens verwerk? Krijg ik een torenhoge boete als ik per ongeluk een datalek veroorzaak? Mag ik geen visitekaartjes bewaren na een congres? Zo luidden enkele vragen waarvan vele organisaties kopzorgen kregen. Voor burgers daarentegen was de nieuwe privacywet meer dan welkom. Uit onderzoek blijkt dat 94% van hen zich in meer of mindere mate nog steeds zorgen maakt. Over dat er misbruik wordt gemaakt van hun identiteitsbewijs bijvoorbeeld, of dat hun gegevens in verkeerde handen terechtkomen. De aangescherpte privacyregels zijn bedoeld om daar een einde aan te maken. De Consumentenbond zette de belangrijkste veranderingen op een rij.

Zijn we AVG-proof?
Brandpulse wel en vele andere organisaties ook. Maar (nog) niet iedereen heeft zijn zaakjes op orde. De Belastingdienst is er één van. De fiscus kampt naar eigen zeggen met een gigantische berg aan data en verouderde systemen. Momenteel doet Auditdienst Rijk, de accountant van de overheid, onderzoek naar de implementatie van de AVG. Ook de Kamer van Koophandel is niet helemaal goed bezig op het gebied van privacy. De belangenbehartiger van ondernemend Nederland verkoopt op grote schaal kant-en-klare bestanden met adressen van zzp’ers. Met als gevolg dat zij bestookt werden met ongevraagde telefoontjes en reclame. De Kamer van Koophandel heeft beterschap beloofd. Ze stopt per 1 juli met de verkoop van adressen die gebruikt worden voor direct marketing.

Feiten en cijfers
De Nederlandse privacywaakhond, Autoriteit Persoonsgegevens (AP), groeide in 2018 van 109 naar 157 fte. En nog steeds worden nieuwe medewerkers aangetrokken. Niet zo gek als je hoort dat de AP in 2018 zo’n 21.000 datalekmeldingen ontving, ten opzichte van 10.000 in het jaar ervoor. De meeste meldingen waren afkomstig uit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26%) en openbaar bestuur (17%). En het versturen van persoonsgegevens naar de verkeerde ontvanger was het meest voorkomende datalek (63%). In de overige 37% van de gevallen ging het om kwijtgeraakte persoonsgegevens. Door bijvoorbeeld een verloren of gestolen werklaptop of usb stick, phishing, hacking en malware.

Op de vingers getikt
Hoewel de meeste organisaties er tot nu toe met een waarschuwing vanaf kwamen, deelde de AP de eerste boetes al uit. De hoogste aan Uber, bemiddelaar in personenvervoer. Het bedrijf kreeg een boete van 600.000 euro wegens het te laat melden van een datalek. Onbevoegden hadden namelijk toegang tot persoonsgegevens van klanten en chauffeurs. Uber had de AP hierover moeten informeren binnen 72 uur na het ontdekken van het lek. Ook Menzis ging in de fout. De zorgverzekeraar had medewerkers van de commerciële afdeling onbedoeld toegang verleend tot medische dossiers. Ze kreeg daarvoor een boete ter hoogte van 50.000 euro. Een soortgelijke boete was er voor de Nationale Politie, die 40.000 euro moest betalen wegens het niet regelmatig en proactief controleren van logbestanden. Daar blijft het niet bij. De AP vindt dat de beveiliging nog steeds te wensen over laat. Ze heeft de politie een dwangsom opgelegd die kan oplopen tot 320.000 euro. Ten slotte kwam ook het Uitvoeringsinstituut Werknemersverzekeringen (UWV) niet onder een dwangsom uit. De AP oordeelde dat de overheidsinstelling de beveiliging van haar werkgeversportaal niet op orde heeft. Is dat op 31 oktober 2019 nog zo, dan moet het UWV een dwangsom betalen. Namelijk 150.000 euro per maand, oplopend tot maar liefst 900.000 euro.

Kan het nog erger?
Ja, dat kan. De Amerikaanse marktwaakhond Federal Trade Commission (FTC) legt Facebook een boete op van 3 tot maximaal 5 miljard dollar! De reden? Facebook zou data van gebruikers onrechtmatig hebben gedeeld met databedrijf Cambridge Analytica. Maar er lopen meer zaken tegen de techgigant. Die lees je hier.

De tijd van waarschuwen is voorbij
Tot nu toe deelde de AP, op een paar boetes na, voornamelijk waarschuwingen uit. “Die tijd is nu voorbij”, zegt ze. De AP gaat van voorlichten naar steviger handhaven en schuwt boetes niet. Nog dit jaar komen er extra medewerkers bij en ligt de focus op niet-gemelde datalekken en handel in persoonsgegevens.

Adressenlijst nog steeds waardevol
De AVG zorgde ook onder marketeers voor een hoop ophef en tumult. Hun opgebouwde adressenbestand zou zo in de prullenbak verdwijnen. En de ooit zo effectieve e-mailmarketingsoftware werd vast waardeloos door een gebrek aan gebruikersinzichten. De nieuwe privacywet zou de ‘dood’ van e-mailmarketing betekenen. Die dood werd overigens al veel vaker voorspeld.

Het heeft organisaties de nodige tijd en moeite gekost om te voldoen aan de aangescherpte privacyregels. Maar de gevreesde impact blijft uit. Sterker nog: de meerderheid van de organisaties die de nieuwe privacyregels toepast, zag het opgebouwde adressenbestand met minder dan 10% slinken. In 20% van de gevallen bleef zelfs de gehele lijst ongewijzigd (Frankwatching, 2019).

Je bent AVG-proof, maar wilt nu ook je e-mailmarketing naar een hoger niveau tillen? Dan ben je bij ons aan het juiste adres. Neem contact met ons op en we gaan graag met je in gesprek.


Deel dit artikel

© 2019 Brandpulse.nl All Rights Reserved | Algemene voorwaarden | Cookiebeleid | Privacybeleid