2 jaar AVG: wat is er tot nu toe gebeurd?

De welbekende privacy wetgeving (Algemene Verordening Gegevensbescherming, AVG) is inmiddels langer dan twee jaar van kracht. Ik ben eigenlijk wel benieuwd wat de tussenstand nu is. Heeft deze wetgeving ons gebracht waarop we hadden gehoopt en is het alle angst en stress waard geweest?

Dik twee jaar geleden was het voor veel organisaties een race tegen de klok. Zouden ze 25 mei 2018 wel, of niet gaan halen om te voldoen aan de wetten welke binnen de AVG gelden. Organisaties waren bang voor de torenhoge boetes die de Autoriteit Persoonsgegevens uit zou kunnen delen. Deze boetes zouden op kunnen lopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Niet gek dus, dat organisaties alles op alles zette om op 25 mei te voldoen aan de AVG-wetgeving.

In het jaar 2019 zijn de eerste boetes door de AP uitgedeeld en hebben er verschillende grote datalekken plaatsgevonden. Denk bijvoorbeeld aan de €600.000,- boete voor Uber, de €460.000,- boete voor de Tennisbond KNLTB, het Haga Ziekenhuis dat een boete van €460.000,- heeft gekregen en een anoniem bedrijf dat een boete heeft gekregen van €725.000,-. Dit zijn de hoogste boetes die naar buiten zijn gebracht. Verder valt het op dat de overige boetes meteen zakken richting de categorie onder de €50.000,-.

Het valt op dat er tot nu toe nog maar weinig boetes zijn uitgedeeld door de AP en dat de uitgedeelde boetes een lachertje lijken te zijn voor de grote organisaties waaraan deze boete wordt uitgedeeld. Deze combinatie zorgt er voor dat het afschrikwekkende effect er een klein beetje af lijkt te zijn. Het is dus ook niet gek dat kleine bedrijven haar prioriteiten soms ergens anders lijken te leggen.

De Autoriteit Persoonsgegevens heeft aangegeven dat ze in het eerste jaar vooral hebben gefocust op bewustwording. Dit is achteraf gezien een logische keuze geweest, omdat de wet vrij complex en ingrijpend was. Je kan dan niet meteen keihard gaan handhaven en met boetes gaan strooien.

Het tweede jaar zijn de eerste grote boetes uitgedeeld. Zoals eerder gezegd waren dit niet zo veel boetes en waren deze boetes te klein om de grote getroffen bedrijven echt pijn te doen.

AP heeft aangegeven zich in het komende jaar te gaan focussen op: datahandel, digitale overheid en artificial intelligence en algoritmes. Ik ben erg benieuwd of de AP het hier bij laat, of dat ze ook bijvoorbeeld MKB’ers zullen gaan controleren. Het probleem lijkt een beetje te zitten in de hoeveelheid werk wat de AP te doen heeft. De organisatie is in korte tijd van 60 medewerkers naar 190 medewerkers gegroeid. Bij zo’n groei komt natuurlijk erg veel kijken en tot dat alles soepel loopt, is het moeilijk om naast de grotere bedrijven ook de kleinere organisaties te controleren.

De AP moet toch een keer bij de kleinere organisaties haar tanden laten zien, want anders ben ik er van overtuigd dat de regeltjes steeds maar soepeler genomen zullen gaan worden. Ik ben benieuwd wat het 3e jaar van de AVG-wetgeving in Nederland ons zal gaan brengen. Blijft het bij het uitdelen van de lage boetes op kleine schaal of zal de AP haar tanden nu echt eens laten zien bij de MKB’ers van Nederland?

;