AVG, waar staan we na twee jaar?

Sinds mei 2018 moeten overheden, het bedrijfsleven en verenigingen voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wat is de stand van zaken na bijna twee jaar?

Hoewel officiële ingang van de verordening een ruime aanlooptijd kende werden veel organisaties zich toch pas na 25 mei bewust van de implicaties van de Europese privacy wetgeving. De verordening verplicht organisaties onder meer om bij te houden welke persoonsgegevens er worden verwerkt, de reden hiervoor te benoemen en uit te leggen hoe deze gegevens beveiligd zijn.

Vanuit hun brede takenpakket werken overheidsorganisaties met grote hoeveelheden (vaak gevoelige) persoonsgegevens. Bovendien hebben burgers geen keuze of ze die gegevens wel of niet afstaan. Zo moet de Belastingdienst voor de uitoefening van haar wettelijke taak beschikking hebben over onze inkomensgegevens. Of burgers deze gegevens afstaan kan dus niet op basis van toestemming omdat het gebeurt op basis van wetgeving. Dat overheden zorgvuldig met zulke gegevens om moeten gaan was al wettelijk vastgelegd, de veranderingen na invoering van de Europese privacywet liggen er voornamelijk in dat er specifieke verplichtingen bij zijn gekomen. Een functionaris gegevensbescherming is inmiddels een bekende functie bij iedere overheidsinstelling, ook het uitvoeren van een DPIA, een diepgaand onderzoek verplicht bij de verwerking van extra gevoelige persoonsgegevens, is niet langer een onbekend concept en organisaties werken hard om te kunnen voldoen aan hun verantwoordingsplicht.

Eerste boetes

In de praktijk is het voldoen aan de AVG een continu proces, dat ook nu na twee jaar nog lang niet is afgerond. Organisaties zijn voortdurend druk met het opstellen dan wel actualiseren van privacyverklaringen, verwerkingsovereenkomsten of verwerkingsregister. Eind 2019 stelde het Capgemini Research Institute vast dat zo'n 31 procent van de ondervraagde bedrijven in Nederland aan de AVG voldeed. Inmiddels heeft ook de Autoriteit Persoonsgegevens de eerste boetes opgelegd voor het overtreden van de wet. Het Haagse HagaZiekenhuis werd als eerste voor 460.000 euro beboet, omdat het de interne beveiliging niet op orde had. Verder werd dit jaar bekend dat de politie onterecht toegang kreeg tot camerabeelden van de gemeente Amsterdam. Een operatie waar geen DPIA voor was uitgevoerd.

Privacy bewustzijn

Het is iedereen duidelijk: voldoen aan de AVG kost tijd, kennis en mankracht. Uit een onderzoek van de International Computer Security Association (ICSA) bleek dat 78 procent van de bedrijven vindt dat de AVG een zware last op de beschikbare middelen is. Vooral voor kleine bedrijven is dit moeilijk.

Toch heeft de AVG ook voor een positieve ontwikkeling gezorgd. Zowel organisaties als klanten of burgers zijn zich steeds bewuster van privacy en hun rechten en plichten op dit gebied. De Autoriteit Persoonsgegevens heeft in de eerste helft van vorig jaar 59 procent meer klachten ontvangen dan in het halfjaar daarvoor. Niet omdat organisaties ineens minder volgens privacy wetgeving handelden, maar omdat mensen zich bewuster zijn geworden van hun rechten.Verder is het aantal organisaties dat investeert in privacy en compliance in 2019 verdubbeld ten opzichte van 2018. Een teken dat privacy serieus wordt genomen en hoger op de agenda staat.

Aanpassingen in de AVG

Zoals het voldoen aan de AVG een continu proces is, is ook deze wetgeving geen statisch begrip. De wetgevers zijn op dit moment bezig met een evaluatie en zullen waarschijnlijk nog in de eerste helft van 2020 met nieuwe aanpassingen komen, zowel in de Europese wetgeving (GDPR) als de Nederlandse Uitvoeringswet AVG. Het doel is vooral om meer duidelijkheid te krijgen over bepaalde regels.

Minister Sander Dekker van Rechtscherming heeft vastgesteld dat wijziging op een aantal punten in de Nederlandse uitvoering van de AVG wenselijk is. Zo is er onduidelijkheid over de toepassing van biometrie voor de identificatie van personen, zoals gezichtsherkenning of vingerafdrukken. Iets waar de overheid veel mee te maken heeft.

Daarnaast wordt onderzocht of een uitbreiding van uitzonderingen op bepaalde AVG verplichtingen voor de archiefbewaarplaatsen en andere maatschappelijk relevante archieven noodzakelijk is.  En er wordt gekeken naar de mogelijkheden om de verhouding van de Archiefwet tot de AVG te verduidelijken.

Hindernissen overwonnen?

Het is niet verrassend dat er bij iedere organisatie hindernissen zijn bij de implementatie en naleving van de AVG. Het kost tijd en geld en van sommige regels is niet altijd helder hoe ze moeten worden toegepast. Meer duidelijkheid komt als het goed is nog dit jaar, wanneer de verordening aanpassingen krijgt. De AVG heeft er in ieder geval voor gezorgd dat privacy een onderwerp is waar niemand meer omheen kan.

Is jouw organisatie al klaar voor de volgende stap?

Wij kunnen helpen bij het uitvoeren van de DPIA, het actualiseren van het verwerkingsregister of het creëren van  privacy awareness binnen de organisatie. Ook bij het vertalen van de nieuwe AVG aanpassingen naar jouw organisatie, het aanscherpen van privacybeleid of advies bij vraagstukken op het snijvlak van archiefwet en AVG is Doxis graag van dienst! Meer weten? Neem dan contact op met onze experts via tel. 070-317 71 72 of stel je vraag per e-mail via commercielebinnendienst@doxis.nl.