Hoe staat het met de invoering van de nieuwe Algemene Verordening Gegevens bescherming?

Invoering nieuwe privacy regels

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Voorafgaand aan die datum werd de spanning enorm opgevoerd. Wie niet voldeed aan de regels op 26 mei 2018 kon heftige boetes tegemoetzien. Ook de Autoriteit Persoonsgegevens liet niet na te melden dat een gewaarschuwd mens voor twee telt en aangezien iedereen zich gewaarschuwd kan achten, zou van een overgangsperiode geen sprake zijn.

BSN nummer is tevens BTW nummer

Helaas werd begin juni 2018 bekend dat de Belastingdienst zelf nog een jaar nodig heeft om de AVG te kunnen naleven. Van handhaving door de Autoriteit Persoonsgegevens is niet gebleken. Dit soort nieuws tast uiteraard het gezag van de Autoriteit Persoonsgegevens aan en zorgde voor een grote anticlimax. Daaroverheen kwam de melding van de Autoriteit Persoonsgegevens dat de Belastingdienst iets moest gaan doen aan het feit dat bij personenvennootschappen en eenmanszaken het BSN nummer van de betrokkene meteen ook zijn of haar BTW nummer is. Hierdoor wordt dit persoonsgegeven door de overheid structureel gelekt. Dat gebeurt echter al jaren en al jaren maken ondernemers daar vruchteloos bezwaar tegen. Het mocht onder de Wet Bescherming persoonsgegevens (WBP) ook al niet. Je zou kunnen zeggen dat die melding nu juist het falen van de Autoriteit Persoonsgegevens pijnlijk duidelijk maakte.

Functionaris Gegevensbescherming

Toch heeft de Autoriteit Persoonsgegevens niet stilgezeten. Er is meteen bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd op de verplichting uit de AVG om een functionaris gegevensbescherming (FG) aan te stellen. Uit deze controle bleek dat twee ziekenhuizen nog geen FG hebben aangemeld. De Autoriteit Persoonsgegevens wil dat ze deze overtreding beëindigen en alsnog binnen vier weken een FG aanwijzen. Daarnaast heeft de Autoriteit Persoonsgegevens gecontroleerd of ziekenhuizen en zorgverzekeraars de contactgegevens van hun FG hebben gepubliceerd op hun website. Dit liet bij bijna 25% nog te wensen over. De organisaties moeten dit aanpassen.

Register van verwerkingsactiviteiten

Er is verder met een verkennend onderzoek gestart om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. Bij een willekeurige steekproef van dertig grote organisaties uit tien private sectoren wordt onderzocht of zij een register van verwerkingsactiviteiten bijhouden. Heeft een organisatie een register van verwerkingen en bevat het de juiste informatie? Dan beschouwt de Autoriteit Persoonsgegevens dat als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.

De Autoriteit Persoonsgegevens voert de steekproef uit bij de volgende tien sectoren over heel Nederland: industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg.

Facebook en Google

Dat de Autoriteit Persoonsgegevens nog niet met gierende sirene is binnengevallen bij de voor de hand liggende grootverwerkers van persoonsgegevens, zoals Facebook en Google, heeft te maken met het feit dat de hoofdvestiging meestal niet in Nederland ligt, waardoor een andere autoriteit de leidende toezichthouder is. Over het Facebook front is dus nog niet veel nieuws te verwachten. Reden waarom het Nederlandse bedrijfsleven en de overheden sneller het zoeklicht op zich gericht kunnen krijgen.

Heeft u alle regelgeving van de AVG al geïmplementeerd? Wij kunnen u helpen bij een check-up hoe u er voor staat. U kunt hiervoor contact opnemen met onze specialisten.