Twee jaar AVG
Op 25 mei was het twee jaar geleden dat de AVG in werking trad. Deze “Algemene verordening gegevensbescherming” is een duidelijke aanscherping van de regels rondom privacy. NRC heeft daarom een serie gemaakt die uitzoekt hoe het zit met de naleving en consequenties van deze regeling.
De AVG is de opvolger van de Wet bescherming persoonsgegevens; het grote verschil is dat volgens de AVG hoge boetes kunnen worden opgelegd aan instellingen die zich niet aan de regels houden. Dat heeft iedereen zeker wakker geschud!
Er is door de AVG op veel gebieden wat veranderd. Hoewel sommige instellingen en verenigingen vooraf riepen dat het tot onwerkbare situaties zou leiden, blijkt dit in de praktijk mee te vallen. Maar door alle publiciteit en discussie zijn mensen en organisaties zich veel bewuster geworden van het recht op bescherming van hun gegevens. Dit wordt meer en meer gezien als een grondrecht. Een voorbeeld van de verandering is bijvoorbeeld zichtbaar op scholen. Zo werden eerder foto’s van evenementen gewoon op de website van school, of op Facebook gezet. Alleen als ouders aangaven dat foto’s met hun kind(eren) in beeld niet mochten worden gepubliceerd gebeurde dit niet. Nu is het normaal om aan het begin van het schooljaar alle ouders toestemming te vragen. Grote bedrijven investeren veel geld om aan de AVG te voldoen. In de wet staat bijvoorbeeld dat precies moet worden vastgelegd waar gegevens, die herleid kunnen worden tot personen, vandaan komen, waar ze worden opgeslagen en met wie ze kunnen worden gedeeld. Dit vraagt veel van de gebruikte IT-systemen; volgens IT-beveiliger Tanium werd hier vorig jaar vele tientallen miljoenen aan uitgegeven. Bij kleinere verenigingen en dergelijke blijft de invoering soms beperkt tot een administratieve aanpassing. Zo kan een voetbalvereniging aan nieuwe leden aangeven dat foto’s op de website gepubliceerd mogen worden. In feite is er dan geen sprake van echte toestemming; als je graag wilt voetballen heb je geen keus dan akkoord te gaan.
De kans dat een dergelijke vereniging beboet wordt is in de praktijk niet zo groot. Er zijn de afgelopen jaren 5 keer flinke boetes opgelegd, van vele tonnen. Het ging hierbij om grote instellingen die overduidelijk over de schreef waren gegaan. Zij hadden gegevens slecht beveiligd, data doorverkocht of datalekken niet gemeld. De verwachting is dat de handhaving steeds effectiever zal worden. Ook is het nu voor overheden en publieke organisaties verplicht een “Functionaris Gegevensbescherming” aan te stellen. Deze moet er onder meer voor zorgen dat alleen dat wordt vastgelegd en bewaard wat ook echt noodzakelijk is. Zoals de kop van het NRC-artikel zegt: “de GGD hoeft niet te weten of jij schulden hebt.”
Content gerealiseerd door Helma Bode.