De AVG (Algemene Verordening Gegevensbescherming) viert deze maand haar eerste verjaardag. In dit blog blikken we terug op een jaar AVG, de privacywetgeving die de voormalige Wet Bescherming Persoonsgegevens (WBP) heeft vervangen. Wist jij dat Nederland in 2018 de meeste datalekken heeft gemeld? Tegelijkertijd is er in ons land maar één boete uitgedeeld. Ook kijken we dit blog vooruit. Ben je bijvoorbeeld al bekend met de E-privacy Verordening (ePV)? Wij nemen je mee in de laatste ontwikkelingen.
De AVG of GDPR (General Data Protection Regulation) zette Nederland vorig jaar op zijn kop. In een notendop zijn onze privacyrechten versterkt en worden organisaties meer in de gaten gehouden op het juist verwerken van persoonsgegevens. Dit houdt in dat ze niet over persoonsgegevens mogen beschikken die niet noodzakelijk zijn. Een adres is voor een pakketbezorgersdienst bijvoorbeeld noodzakelijk, maar de burgerlijke staat van hun klant niet.
Verder moeten standaard-instellingen privacy-vriendelijk zijn. Een voorbeeld hiervan zijn de commerciële nieuwsbrieven. Deze mogen niet zomaar gestuurd worden, tenzij er toestemming voor is gegeven door de ontvanger. Ook voor cookies op een website moet toestemming gegeven worden door de websitebezoeker. Een andere eis voor alle websites die persoonsgegevens verwerken, is het SSL-certificaat. Deze zorgt voor een veilige verbinding tussen de website en de bezoeker. Een website met SSL-certificaat is te herkennen aan de “https” in plaats van “http” en het slotje in de adresbalk. Ook komt er bij websites die niet over dergelijk certificaat beschikken vaak de melding “onveilig” in de adresbalk te staan.
Verwerk jij persoonsgegevens op jouw website of heb je een webshop? Dan is een SSL-certificaat vanuit de AVG verplicht. Doe nu de SSL-test en lees ons blog over de verschillende SSL-certificaten, dan weet je direct welk certificaat je nodig hebt!
Hoewel in Nederland de meeste datalekken werden gemeld van heel Europa, werd er maar één boete uitgedeeld. Taxidienst Uber was de ongelukkige; zij meldden een datalek een jaar te laat. Daarnaast betaalde Uber hackers zodat ze zich stil zouden houden over de datalek. De schade? Een boete van maar liefst €600.000,-.
Hoewel er sprake is van “maar” één boete, zijn er tevens een paar dwangsommen door de AP (Autoriteit Persoonsgegevens) uitgedeeld. Door middel van dwangsommen krijgen organisaties een deadline om veranderingen door te voeren. Doen ze dit niet, dan wordt de dwangsom omgezet in een boete. De Nationale Politie en het UWV kregen zo’n dwangsom. De Nationale Politie heeft een systeem waarin zij kunnen zien wie het Schengengebied betreden en verlaten. Aangezien dit systeem persoonsgegevens bevat (onder andere BSN-nummers), moet er een log bijgehouden worden van wie er wanneer met welke reden gebruikmaakt van het systeem. Dit werd door de Nationale Politie niet gedaan. Aangezien de dwangsom van 40.000 euro geen zoden aan de dijk zette, heeft de AP besloten om de dwangsom te verhogen naar 320.000 euro.
Het UWV beschikt over een heleboel gezondheidsgegevens, maar het portaal dat toegang geeft tot deze gegevens is nog niet op het vereiste beveiligingsniveau. Het AP wil dat er een meerfactorauthenticatie komt. Dit houdt in dat gebruikers zich op minimaal twee verschillende manieren moeten identificeren (bijvoorbeeld door middel van SMS en een wachtwoord). De UWV krijgt een jaar de tijd om dit in te stellen. De dwangsom bedraagt 900.000 euro.
In Frankrijk kreeg ook Google te maken met de gevolgen van de AVG. Zo’n 12.000 mensen hadden een klacht ingediend over de inzichtelijkheid van hun persoonsgegevens. Het was voor hen niet duidelijk welke gegevens het bedrijf nu precies bewaarde en wat ze ermee deden. De boete die Uber kreeg valt in het niet met die van Google. Google moet namelijk 50 miljoen euro aftikken. Het bedrijf overweegt nog om in hoger beroep te gaan.
Een jaar lijkt lang, maar sommige belangrijke organisaties hebben nog steeds niet hun zaken op orde. De voorbeelden van het afgelopen jaar zeggen veel, maar op dit moment is de Belastingdienst ook nog steeds niet AVG-proof. Zij beschikken over oudere persoonsgegevens die officieel al verwijderd moeten zijn. Nu ligt het bij de Belastingdienst wat gecompliceerder doordat er bij hen een heel nieuw systeem opgezet moet worden. De impact van zo’n wet is dus dermate groot, dat het voor sommige organisaties niet haalbaar is om binnen een jaar goed aan de wet te voldoen.
Uit een onderzoek van NOS kwam in maart naar voren dat ruim 1.300 van de 10.000 onderzochte websites nog steeds volggedrag van websitebezoekers meten, zonder dat hier toestemming voor is gegeven. Onder de 1.300 wetovertreders zaten populaire websites als Girlscene, Center Parcs en Marktplaats. Opvallend, want de cookiewet bestaat al zes jaar, met de komst van de AVG is deze wet alleen aangescherpt. De AP gaat zelf dan ook een onderzoek beginnen om te achterhalen of de privacyregels door websites nageleefd worden.
Het blijkt dus niet altijd even gemakkelijk te zijn om de omslag te maken naar een organisatie die helemaal AVG-proof is. Nu houdt de AP zeker rekening met de transitie die soms nodig is om goed met persoonsgegevens om te gaan. Daardoor is er op dit moment sprake van maar één boete. In de toekomst wordt de AP steeds scherper op het naleven van de AVG-wet. En doordat consumenten steeds kritischer worden op de beveiliging van hun persoonsgegevens, word je als organisatie genoodzaakt om je aan te passen.
De volgende ontwikkeling op het gebied van privacy is de E-privacy Verordening (ePV). Dit was vanaf 2002 slechts een richtlijn, maar nu is bekend dat dit een verordening wordt. Wanneer deze verordening wordt ingevoerd is onduidelijk, doordat op dit moment de wetten nog geschreven worden. De ePV is een bijzondere wet, waardoor deze altijd voorrang heeft op de AVG-wet. De ePV gaat over de bescherming van persoonsgegevens in elektronische communicatie. De verordening lijkt op de AVG in de zin dat ze beide te maken hebben met cookiewetgeving.
De ePV gaat alleen nog iets verder. Met de komst van de ePV stel je bij je browser in welke cookies je wel of niet accepteert. Nu geef je dat nog op elke website afzonderlijk aan. Dus als je alleen de functionele cookies wil, dan kun je dit voor alle websites instellen. Daarnaast moet er bij bijvoorbeeld restaurants aangegeven worden (net als bij beveiligingscamera’s) dat er sprake is van wifi-tracking. Door middel van wifi-tracking kun je onder andere op Google zien op welke tijden het druk is bij een restaurant.
Al met al heeft de AVG-wet behoorlijk wat impact gehad het afgelopen jaar. En zelfs na een jaar zijn er nog steeds grote organisaties die niet voldoen aan de AVG-wet, dat is zó 2017. Dus vraag netjes om toestemming bij klanten en vraag een SSL-certificaat aan.
4 reacties
Bij Facebook stonden wij beiden bekend. We wilden daar weg. Dat kon niet. Althans, onze gegevens bleven (c.q. blijven) bestaan bij facebook. Wij meldden dit bij de AVG. Die heeft er niets aan willen doen.
Hee Wim, hebben jullie het Facebook-account permanent verwijderd? Via deze link lees je hoe je dit doet: https://www.facebook.com/help/224562897555674. Alle gegevens worden dan na 30 dagen verwijderd door Facebook. Ik hoop dat je zo verder kunt. Succes!
Ik sta op foto s van Facebook bij iemand waar ik cursus gevolgd heb. Ik heb verzocht de Foto s weg te halen. Dat doen zij niet. Wat kan ik doen ?
Hoi Karin,
Via deze link kun je bij Facebook de foto rapporteren i.v.m. de schending van je privacy: https://www.facebook.com/help/contact/144059062408922
Ik hoop dat je eruit komt zo!