De AVG soep wordt niet zo heet gegeten als die wordt opgediend!

door | 17 mei 2018

Vrijdag 6 april stond er weer een uitgebreid artikel over Facebook in het FD. In het artikel gaf Mark Zuckerberg toe dat hij jarenlang de verantwoordelijkheid niet voelde inzake het beschermen van de privacy en de veiligheid van gebruikers. “Een grote fout”, erkent hij nu. Facebook ligt nu onder vuur, omdat bekend is geworden dat het Britse Cambridge Analytica gebruikersprofielen heeft misbruikt. Er is namelijk gebleken dat er van 87 miljoen gebruikers data is gestolen. Maar net zoals ieder ander, moet ook Facebook voldoen aan de Algemene Verordening Gegevensbescherming die 25 mei ingaat.

De Autoriteit Persoonsgegevens (AP) boekt soms ook successen tegen grote organisaties. Een van deze successen is bijvoorbeeld dat Microsoft na kritiek van de AP, afgelopen najaar, in de nieuwste update de privacy heeft verbeterd. Microsoft informeerde de gebruikers onvoldoende over het feit dat persoonlijke gegevens gebruikt werden.

Uit de bovenstaande feiten blijkt dat de Autoriteit Persoonsgegevens dus toch echt actie onderneemt. De vraag is natuurlijk of de angst die nu wordt gecommuniceerd terecht is. Natuurlijk is begrijpelijk dat het gedrag van Mark Zuckerberg door jarenlang de privacy van de gebruikers niet belangrijk vinden, verwerpelijk gedrag is. Maar als u gewoon bepaalde fatsoensregels hanteert en de attitude binnen uw organisatie gewoon goed is inzake bescherming van privacy, doet u het al goed. Hoe u dit kan doen, kunt u lezen in ons e-book, wat hieronder te downloaden is. Ik zal hier daarom in deze blog niet verder op ingaan.

Op de website van de Nederlandse Vereniging voor Gemeente stond het volgende: “Geeft de Autoriteit Persoonsgegevens na 25 mei direct hoge boetes aan gemeenten die nog niet klaar zijn met de implementatie van de AVG? Nee, boetes worden voorlopig alleen opgelegd als evident is dat er iets fout is gegaan.”

Wordt de soep nu dus zo heet gegeten?

Het antwoord hierop is nee. De Autoriteit persoonsgegevens gaat niet meteen boetes uitdelen als op 25 mei de nieuwe Europese privacyregels van kracht worden. De toezichthouder richt zich de eerste maanden vooral op voorlichting, zegt minister Dekker (Rechtsbescherming). De AP is een onafhankelijke toezichthouder. De minister heeft dus geen harde zeggenschap over de manier waarop de AP omgaat met haar taak. Dat is jammer, maar de uitspraak is wel indicatief. De voorzitter Wolfsen heeft hier wel het volgende op gereageerd:

  • AP-voorzitter Wolfsen beloofde wel om de eerste jaren vooral in te zetten op voorlichting en bijsturing. En niet onmiddellijk op het beboeten van organisaties die bereid zijn om de goede dingen te doen en zich netjes aan de regels te houden.
  • Wolfsen: ‘Het is natuurlijk een ander verhaal als er sprake is van opzettelijke of ernstige misstanden. Maar we moeten ons realiseren dat we aan het begin staan van een proces waarbij heel veel organisaties en bedrijven bezig zijn om het goed te regelen.’

Kortom, zorg ervoor dat uw organisatie qua attitude bezig is met de AVG en neem eens in overweging om dit te koppelen aan een ISO 27001 traject. Lees hier meer over in ons e-book. Wij adviseren om beide trajecten gezamenlijk op te pakken maar het is dus niet vanzelfsprekend dat als je ISO 27001 doet, je ook gelijk voldoet aan de AVG. Als u nog meer informatie wilt kunt u ook nog onze andere blogs lezen over dit onderwerp of kijk op onze website www.intechrity.nl.