De Algemene Verordening Gegevensbescherming na ‘een jaar’

Op 25 mei 2018 is de Europese privacywetgeving van de AVG (Algemene Verordening Gegevensbescherming) ingegaan, althans vanaf die datum geldt in de hele Europese Unie dezelfde Europese privacywetgeving. De AVG staat internationaal bekend als de General Data Protection Regulation en geldt eigenlijk al sinds het voorjaar van 2016. Wat heeft deze wetgeving tot op heden tot gevolg gehad? De eerste conclusie van minister Dekker: veel onduidelijkheid en pas één echte boete aan Uber.

Door Donny Buisman

Hoe zit het ook alweer met de AVG? De AVG heeft in Nederland op 25 mei 2018 de Wet bescherming Persoonsgegevens vervangen. De Europese Unie kent sinds die datum één privacywet. De Europese Unie kende hiervoor 28 verschillende privacywetten, welke voortkwamen uit de Europese Privacyrichtlijn van 1995. De AVG heeft de privacywet(ten) gedigitaliseerd en gemoderniseerd. Een belangrijke ontwikkeling voor verschillende organisaties, want een miljoenenboete kan worden opgelegd.

De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de Europese Unie. Het toepassingsbereik van de AVG is heel ruim waardoor veel bedrijven de nodige privacy-gerelateerde zaken op orde hebben moeten stellen. Het uitbrengen van een offerte is bijvoorbeeld al AVG-gerelateerd.

Voldoet een organisatie of bedrijf niet aan de vereisten uit de AVG? Dan kan in Nederland de Autoriteit Persoonsgegevens een sanctie opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet. De Autoriteit Persoonsgegevens is de toezichthoudende en handhavende instantie van de privacywet. Het optreden van deze instantie is tot op heden beperkt. Alleen Uber kreeg nog een echte boete opgelegd en het toezichthoudend aspect van de instantie heeft tot op heden zich alleen geuit door vooral steekproefsgewijze controle. Voorzitter Aleid Wolfsen zag dit eerder al aankomen omdat er te weinig geld beschikbaar zou zijn om alle verzoeken te kunnen behandelen.

NOS schrijft in dit verband dat er ook veel onduidelijkheid bestaat over de vereisten uit de AVG. Een echte tussenstand van de AVG is daarom ook onduidelijk. Duidelijker is dat er veel wordt gesproken over de AVG en dat de privacy rechtspraktijk voornamelijk druk is met de betekenis van de AVG.