Iedereen zal het onderhand wel gemerkt hebben: de nieuwe Europese privacywet is vanaf 25 mei 2018 van kracht. De nieuwe regels vallen onder de ‘Algemene verordening gegevensbescherming (AVG)’. Ook wel bekend onder de Engelse naam: ‘General Data Protection Regulation (GDPR)’. In mei 2016 is de wet aangenomen en is besloten dat de wet 2 jaar later gehandhaafd zou worden. Dit wil zeggen dat organisaties 2 jaar de tijd hebben gehad zich voor te bereiden op de invoering van de nieuwe regelgeving. Met de nieuwe wet zijn ook sancties opgesteld. Overtreedt een organisatie de nieuwe privacywet, dan kan de toezichthouder een boete opleggen tot 4% van de jaaromzet van de overtreder. De nieuwe wet is nu een aantal weken van kracht, dus komt de volgende vraag naar boven: hoe gaat het met de verwezenlijking van de GDPR binnen organisaties?
De helft houdt zich niet aan de GDPR
De consumentenbond heeft in Nederland onderzoek gedaan naar de naleving van een deel van de GDPR. Dit is twee dagen na de invoering gedaan (op 27 mei 2018). Ze hebben gekeken naar cookies op verschillende websites. Volgens de GDPR moet je cookies kunnen weigeren en mogen daarom geen cookies worden geplaatst voor de bezoeker toestemming heeft gegeven. Bovendien moet je specifiek per soort cookie kunnen aangeven of je ze accepteer of niet. Er zijn 150 websites onderzocht door de consumentenbond. Hiervan bleek 52% cookies te plaatsen zonder hier vooraf toestemming voor te vragen. Wanneer specifiek wordt gekeken naar banken, blijkt dat slechts 3 grote banken voldoen aan deze regels van de GDPR. Ook een aantal grote nieuwssites hadden hun website nog niet op orde. Als grondiger naar de sites wordt gekeken en rekening wordt gehouden met het toestemming geven voor de verschillende soorten cookies, blijkt zelfs dat slechts 31% voldoet aan de criteria. Verder zijn er nog een aantal sites die de wet overtreden door bezoekers niet toe te laten op de site als ze de cookies niet accepteren. De consumentenbond heeft een half jaar geleden eenzelfde onderzoek uitgevoerd, voor de invoering van de nieuwe wetgeving. Toen bleek zo’n twee derde niet te voldoen aan de nieuwe regels. Ik had verwacht dat veel meer organisaties zouden voldoen aan de nieuwe regelgeving. Zeker gezien het feit dat ze 2 jaar voorbereidingstijd hebben gehad.
Het goede voorbeeld
Niet iedereen doet het slecht. We kunnen ook zeggen dat het glas tenminste half vol is. Zoals gezegd houden in ieder geval 3 grote banken zich aan de nieuwe regelgeving. Daarnaast zijn er websites die de regelgeving erg serieus nemen en de bezoeker gemakkelijk de mogelijkheid geven ‘niet akkoord’ te gaan met de cookies. Op sommige websites staan zelfs alle soorten cookies automatisch uitgevinkt (behalve de noodzakelijke).
Bonnetjes uitschrijven dan maar
Dus, alle bedrijven die niet zich niet (volledig) houden aan de nieuwe wetgeving moeten 4% van hun jaaromzet inleveren. Nee, zo’n vaart zal het nog niet lopen. Volgens Sander Dekker, minister van rechtsbescherming, hoeven zeker kleine organisaties niet meteen bang te zijn voor een sanctie. Hij zegt dat de Autoriteit Persoonsgegevens niet a la minuut boetes zal uitdelen. Dit is anders voor grote organisaties. Van hen verwacht de minister wel dat ze zich volledig houden aan de nieuwe wet en daarmee het goede voorbeeld geven. De sancties zullen echter alsnog minder zwaar zijn dan in eerste instantie aangekondigd, zegt ook de voorzitter van de Autoriteit Persoonsgegevens.
Ruimte voor verbetering
Als we naar de cijfers kijken, kunnen we wel stellen dat er nog grote ruimte voor verbetering is in het cookiebeleid van veel bedrijven. De cookies zijn slechts een deel van de hele AVG, dus misschien is er nog veel meer verbetering mogelijk in de naleving van de gehele wet. Bedrijven zullen er niet onderuit kunnen, aangezien het een Europese wet is. De sancties zijn echter niet dermate afschrikkend dat bedrijven een hete adem in hun nek zullen voelen. Momenteel is de kans, voor zowel kleine als grote bedrijven, om beboet te worden namelijk nihil.
