Veel organisaties keken er tegenop: de invoering van de Algemene Verordening Gegevensbescherming(AVG) op 25 mei 2018. Het zou een belemmering zijn voor de bedrijfsvoering van veel van deze organisaties, omdat het strengere regels met zich meebracht omtrent de verwerking van persoonsgegevens. En boetes, wanneer deze regels niet zouden worden nageleefd. Inmiddels zijn we een jaar verder. Wat is het effect geweest en waar staan we nu?
Stijging in meldingen datalekken
Eén van de grootste veranderingen is het verplicht melden van een datalek. Wanneer een organisatie te maken heeft met een datalek, dient deze binnen 72 uur te zijn gemeld bij de Autoriteit Persoonsgegevens (AP). Dit zorgde ervoor dat de teller vorig jaar op 20.881 datalekken stond, ten opzichte van de 10.009 gemelde datalekken in 2017. Gebeurt dit niet, dan zijn de gevolgen voor de organisatie. De boetes die er op staan bedragen max. €20.000 of 2-4% van de wereldwijde jaaromzet.

Door het verplicht stellen van datalekken zijn er het afgelopen jaar al verschillende organisaties in het nieuws geweest. Dit zijn de meest opvallende gevallen:

  • In november kreeg Uber een boete van €600.000 vanwege een niet gemeld datalek. Een lek dat in 2016 was ontstaan, werd pas in 2017 gemeld. Hierbij kwamen internationaal namen en telefoonnummers van klanten en chauffeurs vrij, waaronder van 174.000 Nederlanders. Daarnaast werden er ook hackers betaald om het datalek te verzwijgen.
  • Google kreeg in Frankrijk te maken met een boete van €50 miljoen. De reden? Het was voor mensen niet mogelijk om hun persoonsgegevens op een correcte manier in te zien. Dit is één van de veranderingen die met de AVG werd geïntroduceerd.
  • Eerder dit jaar kwam verhuurmakelaar Altijd Wonen negatief in het nieuws. Door verouderde technologieën bleken persoonsgegevens niet goed afgeschermd. Hierdoor kwamen e-mailadressen, telefoonnummers en wachtwoorden van 49.000 Nederlanders op straat te liggen.
  • Onlangs nog kwam het nieuws naar buiten dat de gemeente Assen te maken had met een datalek. Het lek werd veroorzaakt door een medewerker die per ongeluk een e-mail verstuurde naar een verkeerde ontvanger. Dit is de grootste oorzaak van datalekken (63%) en kan voorkomen worden met de juiste maatregelen. Dit kwam voor de gemeente Assen helaas te laat: door deze fout kwamen gegevens van 530 personen op straat te liggen.
  • En, begin deze maand had ook het UWV met een enorm datalek te maken: 117.000 CV’s kwamen bloot te liggen. En dat is kwalijk, omdat CV’s waardevolle informatie bevatten. Criminelen kunnen met deze informatie gedetailleerde profielen aanmaken, waardoor slachtoffers een gericht doelwit kunnen worden van deze criminelen.
Harder optreden door AP
Aan de ene kant kunnen we concluderen dat de werking van de AVG een plek heeft gekregen. De stijging in het aantal datalekken laat zien dat organisaties weten wat er moet gebeuren bij een dergelijk lek. Aan de andere kant zijn nog niet alle organisaties even ver. Zo blijkt de Belastingdienst nog altijd met verouderde systemen te werken. Hierdoor blijken gegevens die eigenlijk verwijderd hadden moeten zijn, nog steeds worden bewaard in het archief van de Belastingdienst. En dit is in strijd met de AVG: oude gegevens die niet meer relevant zijn voor processen dienen verwijderd te worden.
Hoewel er een aanloop was naar de werkelijke introductie van de AVG – want organisaties zijn ruim van tevoren ingelicht over de nieuwe regelgevingen – blijken dus nog niet alle organisaties hun zaken op orde te hebben. Voor nu heeft dat nog geen zoden aan de dijk gezet. Tot zover heeft Uber in Nederland de eerste echte boete gekregen, zijn er wel wat dwangsommen uitgedeeld en is er al een aantal onderzoeken uitgevoerd. Maar, de zachte aanpak zal dit jaar nog veranderen.

Aleid Wolfsen, Voorzitter Autoriteit Persoonsgegevens, Vicevoorzitter European Data Protection Board zegt er het volgende over:

“Wat je in 2019 kunt verwachten, is de overgang van de waarschuwende autoriteit die dingen uitlegt en campagnes voert, naar ook de handhavende autoriteit die doorpakt waar nodig is. Zorg, financiën, de overheid, datalekken en datahandel zijn daarbij onze hoofdprioriteiten. We hebben van tevoren gezegd: “We zijn een redelijke toezichthouder, dus we gaan niet uit eigen initiatief onmiddellijk alle bakkers en slagers controleren”. Tegelijkertijd moeten mensen en dus ook MKB’ers wel naar de wet handelen. Bij een aantal afgeronde onderzoeken denken we momenteel aan boetes. Daarnaast starten we binnenkort weer een campagne, deze keer speciaal gericht op het MKB.“ (De rest van het interview leest u hier.)

Met dit in het achterhoofd, zal het aantal datalekken de komende periode nog wel oplopen. Het is dan aan de getroffen organisaties de taak om hier zorgvuldig mee om te gaan en een boete te voorkomen. Dat de AP en de overige Europese waakhonden wakker zijn mag nu wel duidelijk zijn: nu moet het besef komen dat zij er ook niet voor terugdeinzen om organisaties te bestraffen als het gaat om het waarborgen van de privacy.