AVG en de eigen verantwoordelijkheid: vrees voor de boete, of het belang van ethisch handelen?

Wij delen graag onze kennis en inzichten

Op 9 oktober jl. publiceerde Trouw een artikel waarin achterstanden bij de Autoriteit Persoonsgegevens (de AP) werden aangekaart (lees het artikel via deze link). Trouw is in het kader van dit artikel in gesprek geweest met de voorzitter van de AP: Aleid Wolfsen. Wettelijk is de AP verplicht klachten te behandelen van burgers, maar wachttijden van een half jaar voor behandeling zijn op dit moment realiteit. Ook staan er dossiers ‘in de wacht’ van onder andere multinationals, die goedkeuring vereisen van de AP, met betrekking tot doorgifte van persoonsgegevens aan organisaties buiten de Europese Unie. Volgens Wolfsen zijn de achterstanden het product van een tekort aan mankracht.

De AP heeft het druk, en de angst voor boetes wordt daarmee wellicht minder. Maar zou de angst voor een sanctie van de AP de enige reden moeten zijn om conform de Algemene Verordening Gegevensbescherming (AVG) te werken? Of zijn er ook andere zaken die hierin mee (zouden moeten) spelen? Voor het beantwoorden van deze vraag is het goed om eerst nog eens in te gaan op de totstandkomingsgeschiedenis van de AVG.

 

Een korte beschrijving van de (recente) geschiedenis

Sinds 25 mei 2018 is de AVG officieel van toepassing in Nederland. Deze Europese Verordening (2016/679) is in april 2016 al aangenomen; na lang debatteren over de beste uniforme oplossing met betrekking tot gegevensverwerking. Als gezegd is de AVG een EU Verordening. Daarmee is het een krachtig instrument: bij strijd met nationale wetgeving, prevaleert de verordening. Een overzicht van de rangorde van regelgeving (van boven tot onder te lezen):

  • Internationale verdragen en Europees gemeenschapsrecht
  • Statuut van het Koninkrijk
  • Grondwet
  • Wet in formele zin
  • AMvB
  • Ministeriele regeling
  • Provinciale verordening – verordening SER
  • Gemeentelijke verordening – verordening Waterschap
  • Verordening bedrijfschap

En hoe zit het dan met privacywetgeving in de Nederlandse wet? In 1983 werd het ‘recht op privacy’ vastgelegd in de Nederlandse Grondwet. Artikel 10 – 13 van de Grondwet vormen nu de basis voor Nederlandse  privacywetgeving. Hoewel de Nederlandse overheid belang hecht aan privacyrechten, hebben Nederlanders door de jaren heen zorgen geuit over gegevensverwerking. Uit Eurobarometer 431 blijkt dat Nederlanders in bepaalde gevallen begrijpen waarom bedrijven gegevens verzamelen. Zij vinden dan wel dat het enkel om noodzakelijke gegevens dient te gaan. Het verkopen van gegevens die online verzameld zijn, vindt 75 % onacceptabel (het Europees gemiddelde ligt 74 %).

Nederlanders hadden verder maar weinig vertrouwen in bedrijven die gegevens verzamelden: slechts 18 % gaf aan hier vertrouwen in te hebben. Het EU gemiddelde is 24 %. Dit volgt uit het Consent Country Report The Netherlands uit 2012. De AVG is dan ook zeker een welkom instrument voor de gemiddelde Nederlander.

Binnen Nederland wordt toezicht gehouden op naleving van de AVG door de AP.  Iedere lidstaat kent op die manier een autoriteit die toezicht houdt op het naleven van de verordening. Daarbij wordt de handhaving streng toegepast: sinds 2018 is voor 114 miljoen euro aan GDPR boetes uitgeschreven in de gehele EU. Ook de AP heeft aangegeven steeds strenger te willen handhaven, na een periode van ‘gewenning aan de AVG’. Hoe zit het dan precies met de sancties die kunnen volgen uit handhaving?

 

Het risico op sancties…

Onderstaande tekst komt uit de overwegingen die aan de officiële AVG bepalingen voorafgaan. Deze tekst onderstreept het doel van vertrouwen van betrokkenen in digitalisering en gegevensverwerking. Daarnaast wordt duidelijk beschreven dat strenge handhaving nodig is om dergelijke doelen te bereiken:

“Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen. Die ontwikkelingen vereisen een krachtig en coherent kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen.”

In Nederland wordt deze strenge handhaving opgepakt door de Autoriteit Persoonsgegevens. Zij hebben stevige sanctiebevoegdheden op grond van de AVG, waaronder:

  • Het opleggen van last onder bestuursdwang.
  • Het opleggen van een bestuurlijke boete van ten hoogste 20 miljoen euro, of 4% van de totale wereldwijde jaaromzet in het voorafgaand boekjaar indien dit bedrag hoger is.

De AP heeft reeds een aantal stevige boetes opgelegd, met bedragen die verschillen van € 60.000,- tot € 830.000,-. Met vrees voor dergelijke boetes, conformeren steeds meer organisaties zich (zo goed als mogelijk) aan de AVG plichten. Maar is er niet een nog betere reden om te voldoen aan deze privacywetgeving?

 

De eigen verantwoordelijkheid

De AVG is voortgekomen uit reële zorgen die door consumenten werden geuit met betrekking tot technologie en gegevensverwerking. Agressieve tracking cookies, ongewenste benaderingen van personen en datalekken noopten tot extra regulering van de privacywetgeving. In hoeverre zou de vrees voor sancties dan de drijfveer moeten zijn voor het voldoen aan deze regels? Wil je als organisatie immers niet juist het voortouw nemen in ethiek, transparantie en integriteit als het gaat om jouw klanten (of anderzijds betrokkenen)?

Bij XY Legal Solutions werken we volgens het Manifest voor Verantwoord Leiderschap van de XY Solutions Group, waarvan het volgende gebod onderdeel uitmaakt: “Ethisch handelen is de enige optie.” Wij houden organisaties (en onszelf) graag de spiegel voor en helpen bij het ontwerpen van een moreel kompas dat leidt naar fatsoenlijk, integer én transparant handelen. In al onze adviezen besteden we aandacht aan ethiek: duurzaam bestaansrecht van organisaties gaat hand in hand met ethisch handelen.  

Het hebben van transparant en kloppend AVG beleid is wat ons betreft een ‘must’ voor organisaties. Klanten en betrokkenen horen te weten waar ze aan toe zijn als het gaat om gegevensverwerking. Bij XY Legal Solutions adviseren we, en implementeren we; als het gaat om een verantwoordelijke AVG werkwijze. In termen van de wetgeving geldt je als organisatie in relatie tot klanten en betrokkenen als verwerkingsverantwoordelijke. Deze verantwoordelijke rol zou wat ons betreft zwaar moeten wegen en daarom ondersteunen wij met diepgaande kennis van de AVG. Graag eens met ons in gesprek hierover? Mail naar info@xyls.nl, of bel naar 030 – 227 03 86.

Neem contact met ons op
Bronnenlijst

Artikel in Trouw, “Voorzitter Autoriteit Persoonsgegevens: ‘De achterstanden zijn zo groot dat het lachwekkend is’”, geraadpleegd op 12-11-2020 via de volgende link: https://www.trouw.nl/binnenland/voorzitter-autoriteit-persoonsgegevens-de-achterstanden-zijn-zo-groot-dat-het-lachwekkend-is~bb44d7a8/

Boetes en andere sancties van de Autoriteit Persoonsgegevens, geraadpleegd op 12-11-2020 via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties

Verordening (EU) 2016/679 Van het Europees Parlement en de Raad, van 27 april 2016 (op 25 mei 2018 in werking getreden in Nederland); geraadpleegd op 13-11-2020 via de volgende link: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

De Nederlandse Grondwet (geraadpleegd op 13-11-2020 via de volgende link: https://wetten.overheid.nl/BWBR0001840/2018-12-21)

Artikel op Emerce.nl, “Voor 114 miljoen euro aan GDPR boetes sinds 2018, Nederland koploper met datalekken”, geraadpleegd op 13-11-2020, via de volgende link: https://www.emerce.nl/nieuws/114-miljoen-euro-gdpr-boetes-sinds-2018-nederland-koploper-datalekken

Special Eurobarometer 431: Data Protection, geraadpleegd op 13-11-2020, via de volgende link: https://data.europa.eu/euodp/nl/data/dataset/S2075_83_1_431_ENG

Algemene website van de Autoriteit Persoonsgegevens, geraadpleegd op 14-11-2020, via de volgende link: https://autoriteitpersoonsgegevens.nl/

Het Manifest voor Verantwoord Digitaal Leiderschap van XY Solutions Group, geraadpleegd op 14-11-2020, via de volgende link: https://www.xyms.nl/manifest

Preambule bij de AVG wetgeving, geraadpleegd op 18-11-2020, via de volgende link: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

Uitvoeringswet Algemene Verordening Gegevensbescherming, specifiek artikelen 15, 16, 17 en 18; geraadpleegd op 18-11-2020, via de volgende link: https://wetten.overheid.nl/BWBR0040940/2020-01-01#Hoofdstuk2

Boetes en andere sancties door de Autoriteit Persoonsgegevens, geraadpleegd op 20-11-2020, via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties