Winkelmand

Geen producten in de winkelwagen.

AVG: de hoogte- en dieptepunten van de eerste periode

Inmiddels wordt de AVG bijna twee maanden gehandhaafd. Veel bedrijven hebben in de afgelopen maanden bergen verzet om de wetgeving te kunnen naleven, maar er zijn ook genoeg organisaties die nog steeds druk bezig zijn om alles op orde te krijgen. Intussen vonden diverse ontwikkelingen plaats rondom privacy, lees je in dit overzicht van Sprout-expert Charlotte van Eeden. 

Vrijelijk toestemming geven

Noyb.eu, een non-profit organisatie die zich actief richt op privacybescherming, diende vrijwel onmiddellijk na het handhaven van de AVG klachten in bij verschillende instanties over Google, Facebook, Instagram en WhatsApp. Deze klachten gingen onder andere over het verplichte akkoord geven op de nieuwe algemene voorwaarden van deze bedrijven.

Volgens de AVG dienen gebruikers ‘vrijelijk en expliciet’ toestemming te gegeven. Er ontstond veel discussie over de invulling van het begrip ‘vrijelijk’. Het is namelijk de vraag of gebruikers vrijelijk toestemming geven, als deze verplicht gegeven moet worden voor het kunnen gebruiken van een dienst. Het (nog) niet duidelijke antwoord is voor meerdere organisaties zeer interessant, omdat veel bedrijven momenteel van deze methode gebruikmaken.

Er zijn verder klachten ingediend over het bundelen van toestemming voor verschillende diensten, dit is namelijk onder de AVG verboden. Ook tegen de koppeling van gegevens die noodzakelijk zijn voor een dienst (en waarvoor deze gegevens zijn verkregen) en het gebruik van deze gegevens voor direct marketing – waar additionele opt-in toestemming voor is vereist – is geprotesteerd.

De Belastingdienst

Ook vanuit Nederland is er nieuws. Zo bleek dat de Belastingdienst waarschijnlijk nog een jaar nodig heeft om naleving van de wetgeving te kunnen garanderen. De Autoriteit Persoonsgegevens (AP) gaf hierop aan dat de AVG voor iedere organisatie of instantie geldt. Dit is (nogmaals) een bevestiging dat het MKB-segment niet onder de AVG uit kan. Bedrijven die nog niet zijn begonnen, of nog niet klaar zijn met naleving van de AVG riskeren een hoge boete.

Daarnaast benadrukte staatssecretaris van Financiën, Menno Snel, naar aanleiding van de mededeling van de Belastingdienst dat naleving van de AVG geen eindstreep is maar een continu proces. Dit geldt natuurlijk voor alle organisaties. Het is dan ook niet de bedoeling dat bedrijven achteroverleunen zodra ze compliant zijn. Houd er daarom rekening mee dat je bedrijf moet zijn ingesteld op ontwikkelingen op het gebied van techniek, maar ook op nadere invulling van privacywetgeving door de rechter.

Bosch

Dat het belangrijk is om de bescherming van persoonsgegevens goed geregeld te hebben en te houden, blijkt maar weer uit een onderzoek van Bosch onder consumenten. Hier kwam uit naar voren dat het verlies van privacy, en het niet langer in staat zijn om zelf controle uit te kunnen voeren, de grootste belemmeringen zijn voor consumenten om nieuwe (technologische) producten en diensten te omarmen.

Hieruit volgt dat het beschermen van persoonsgegevens dus actief kan worden ingezet om een nieuw product of dienst op de markt te zetten. Deze stelling vindt ondersteuning in een onderzoek van SAS Data Management, waaruit blijkt dat privacy een concurrentie-onderscheidende factor heeft wanneer het aankomt op innovatie.

Als klap op de vuurpijl gaf Apple aan dat zij het verzamelen van online gebruikersdata actief tegengaat voor de gebruikers, door het ontwikkelen van diverse antitrackingtools voor de browser van Apple.

Oppassen geblazen

Er is wel voorzichtigheid geboden voor bedrijven. Zo zijn er al enkele bedrijven benaderd door ‘AVG-keurmerken’ die beweren nauw samen te werken met de AP en die proberen om bedrijven te verleiden tot het afnemen van diensten. Maar op het moment bestaat er (nog) geen officieel keurmerk voor bedrijven om naleving van de AVG te kunnen aantonen. De AP gaf namelijk aan dat zij geen samenwerkingen heeft met dergelijke bedrijven.

Ook kwam onlangs in het nieuws dat een oplichter zich voordoet als de AP, om zo boetegeld van sites te eisen wegens het niet-voldoen de AVG. Bedrijven krijgen van deze oplichter te horen dat ze zo snel mogelijk een boetebedrag van circa € 1.000,- naar de AP moeten overmaken. Wees dus waakzaam!

Mochten de nieuwe maatregelen en hoge boetes nog niet overtuigend genoeg zijn, dan zou bovenstaande toch zeker enkele goede redenen moeten opleveren om de bescherming van persoonsgegevens binnen je bedrijf op orde te krijgen.