GDPR na de storm: hoe staan we er nu voor?
GDPR na de storm: hoe staan we er nu voor?
Sinds 25 mei 2018 is de Algemene Verordering Gegevensbescherming (AVG, in het Engels GDPR) van kracht gegaan. We zijn ondertussen anderhalf jaar en honderden, zo niet duizenden cookiemeldingen verder. Maar welke gevolgen heeft deze wetgeving nu in de praktijk gehad, en hoe staat het met de enorme boetes waar destijds mee gedreigd werd?
Terug naar toen
In 2016 werd de nieuwe Europese wet aangekondigd: In mei 2018 zou de GDPR-wetgeving in werking treden. Tot die tijd waren er nog weinig kaders gesteld aan het online verzamelen van persoonsgegevens, en nog belangrijker: de rechten van de site-gebruiker werden niet concreet gewaarborgd in de wetgeving. De GDPR wetgeving zou hier verandering in brengen: ‘toestemming’ stond min of meer centraal, evenals de rechten van de gebruiker. Meer weten over het hoe en waarom van de GDPR wetgeving? Lees hier verder.
Onrust bij organisaties
Veel organisaties waren bewust dan wel onbewust in overtreding van GDPR, mede omdat ze voor die tijd nooit hadden hoeven nadenken over de privacy van hun gebruikers. Met de aankondiging van GDPR was het ook pas voor het eerst dat er sancties tegenover het verzamelen van data (lees: persoonsgegevens) zonder toestemming zouden staan. Zo werd er gecommuniceerd dat bedrijven konden rekenen op boetes tot 20 miljoen euro of 4% van de totale jaaromzet.
In het jaar in aanloop naar de in kracht treding van GDPR werd er veel over het onderwerp geschreven, en veel gespeculeerd over de boetes. Big data was op dat moment een ‘hot topic’. Moesten we daar als organisaties nu allemaal ineens weer mee stoppen? Er heerste een zeker gevoel van onzekerheid, niemand wist eigenlijk écht wat de intreding van de GDPR nu zou betekenen.
Autoriteit Persoonsgegevens
Naar aanleiding van de AVG-wetgeving is de AP in leven geroepen, de Autoriteit Persoonsgegevens. Voorheen was dit het College bescherming persoonsgegevens, maar met de aankondiging van de GDPR in 2016 is deze naam aangepast en heeft de commissie moeten uitbreiden. De hoofdtaak van de AP is toezien op de naleving van GDPR. Dit geldt alleen voor Nederlandse organisaties, en de persoonsgegevens van Nederlandse burgers. Zo hebben meerdere landen andere vergelijkbare bestuursorganen, zoals het FTC (Federal Trade Commission) in Amerika die toeziet op de naleving in het betreffende land.
Klachten
Sinds mei 2018 kunnen consumenten via de site van de AP klachten melden. Op 9 september 2019 laat het AP in een nieuwsbericht weten dat zij in de eerste helft van 2019 ruim 15.000 klachten hebben gekregen van consumenten over schending van hun privacy rechten. Dat is een forse stijging ten opzicht van het jaar ervoor, waar er over het hele jaar ‘slechts’ 9661 klachten werden gemeld.
Sectoren waar de meeste klachten over binnen komen zijn: Zakelijke dienstverleners (46%), de overheid (14%) en de IT-sector (13%). De meeste klachten gaan over het verstrekken van gegevens aan derden zonder toestemming, of het niet (correct) afhandelen van een verzoek tot inzage of verwijdering van gegevens.
Uitdagingen en uitgedeelde boetes
Een probleem dat de AP momenteel ervaart, is dat de klachtenstroom harder groeit dan de organisatie bij kan houden. Hierdoor zijn ze momenteel (nog) niet in staat om alle klachten tijdig af te handelen, en kan dit ook deels verklaren waarom grote boetes aan organisaties die in overtreding zijn in bovengenoemde sectoren nog wat uit blijven.
Dat betekent uiteraard niet dat het AP stil zit. Wanneer je kijkt naar de sectoren waar het AP wel actief onderzoek doet, dan zie je dat ze een duidelijke richting hebben gekozen. Het gaat voornamelijk over organisaties die veel te maken hebben met bijzondere persoonsgegevens, zoals ziekenhuizen met medische dossiers, en overheidsinstellingen zoals de Belastingdienst en het UWV.
Over het algemeen zal de AP bij een onderzoek of klachtenafhandeling eerst contact opnemen met de betreffende organisatie en ze een kans geven alsnog hun zaken op orde te krijgen. In de meeste gevallen geven organisaties hier tijdig en voldoende gehoor aan en zullen er geen verdere sancties volgen. Toch heeft de AP begin dit jaar een dwangsom van €50.000 euro opgelegd aan Menzis voor het niet voldoen aan de privacy regels, zo meldden ze onlangs in een nieuwsbericht op hun site.
Over de grens zijn er inmiddels al grotere boetes uitgedeeld. Zo heeft YouTube in september van dit jaar een boete van 170 miljoen dollar gekregen voor het plaatsen van cookies waarmee het surfgedrag van kinderen werd gevolgd. Dit gebeurde zonder toestemming van ouders of voogd.
Jurisprudentie
De GDPR wetgeving is opzettelijk vaag en breed geformuleerd, zodat er zoveel mogelijk onder zou vallen, en verdere jurisprudentie zou moeten uitwijzen hoe de wet in de praktijk toegepast moet worden.
Aan de ene kant frustreert dit voornamelijk de marketeers in organisaties enorm, aan de andere kant gaf het ook ruimte om de mazen van de wet op te zoeken. Zo zijn er momenteel honderden cookie banners actief die eigenlijk niet voldoen aan de GDPR, maar nergens staat heel concreet waar een cookiebanner wél aan moet voldoen. Ook hier komt verandering in. Zo heeft de AP in november 2018 bepaalt dat ‘cookiewalls’ in tegenstrijd zijn met de GDPR, en heeft het Europese Hof van Justitie in oktober 2019 de uitspraak gedaan dat er geen geldige toestemming is gevraagd wanneer cookiebanners vooraf aangevinkt zijn.
GDPR de komende jaren
Gezien de huidige uitdagingen van de AP, vermoed ik dat het nog wel een paar jaar gaat duren voordat ze eraan toe zijn om de meer commerciële sectoren te onderzoeken en eventueel te beboeten. Tot die tijd zullen ze voornamelijk acteren als daar een concrete aanleiding toe is, bijvoorbeeld bij een substantiële datalek, of een groot aantal klachten.
Al met al heeft GDPR er tot nu toe vooral aan bijgedragen dat organisaties wat meer bewust met de persoonsgegevens van hun gebruikers omgaan. Daarnaast is het ook goed dat de gebruikers zelf zich meer bewust zijn van welke gegevens ze waar achterlaten online, en wat hun rechten zijn omtrent toestemming geven en het intrekken hiervan.
Alle onrust en boete dreigingen zijn achteraf wat overtrokken geweest, en ik denk ook niet dat organisaties zich de komende jaren ineens zorgen moeten gaan maken over enorme boetes. De kernboodschap blijft, mijns inziens: 'Denk na over welke persoonsgegevens je verzamelt en waarom, en ga hier mee om zoals je ook zou willen dat anderen met jouw gegevens omgaan'. Vraag daarom netjes om toestemming, wees open in je communicatie naar je gebruikers over wat je verzamelt en waarom, dan kom je al een heel eind met het voldoen aan GDPR!