Afgelopen 1 september was het precies 100 dagen geleden dat de AVG/GDPR van kracht werd. De nieuwe Europese privacyrichtlijn hield de gemoederen in de aanloop naar 25 mei behoorlijk bezig. Hoe staat er 100 dagen na dato voor? We maken de stand van zaken op met Aleid Wolfsen, Voorzitter van de Autoriteit Persoonsgegevens.
Eind augustus stond de telefoonteller bij de AP op 17.000 telefoontjes bij het Informatie- en Meldpunt Privacy vanaf 1 januari 2018. “Het stabiliseert nu tot ongeveer 600 telefoontjes per week”, zegt Wolfsen. “Gelukkig zijn de wachttijden van vóór 25 mei zo goed als weggewerkt. De bedrijven die ons belden, wilden vooral weten of ze goed bezig waren. Dat gebeurt nu aanzienlijk minder, misschien omdat ze bang zijn voor represailles als ze aan de AP vertellen dat ze nog niet op orde zijn.”
Risico
“Veel vragen gaan nu over de open norm. Wat is bijvoorbeeld een hoog risico, of een adequate beveiliging? Vanuit Europa – EDPB – maken we daarover richtlijnen en dat doen wij ook als AP. Zoals gebruikelijk zal de wet per geval, casus en rechtszaak steeds specifieker worden.”
Hoewel het aantal telefoontjes iets is teruggelopen, is het voor de AP nog steeds alle hens aan dek. “Onze capaciteit blijft krap”, aldus Wolfsen. “We zijn dan ook nog steeds aan het uitbreiden. Of onze huidige 140 medewerkers het aankunnen, hangt af van de aard van de klachten die wij binnen krijgen. In ieder geval staat de AVG, mede dankzij de berichtgeving, nog steeds ruim in de belangstelling. De bewustwording groeit dat privacy echt wel ergens over gaat. Mensen nemen tracking cookies, verhandelen van data enzovoort steeds serieuzer.”
Speldenprikactie
Wolfsen vertelt dat de AP recent verschillende speldenprikacties heeft gevoerd. “Daarbij hebben we bijvoorbeeld bij overheden en in de zorgsector gecontroleerd of er daadwerkelijk FG’s waren aangesteld. Bij private partijen hebben we gecontroleerd of zij een privacyboekhouding bijhouden. Dat is een eerste indicatie of een bedrijf privacy-veilig bezig is.”
“De FG’s zijn als het ware onze hulptroepen. Wanneer wij hier een bedrijf ontvangen voor overleg, willen wij dat hun FG ook aan tafel zit. Als het goed is weet een FG wat er speelt binnen een bedrijf. Hij kent de digitale wereld én de privacywetgeving. Om adequaat intern toezicht uit te kunnen oefenen, moet een FG een positie hebben op niveau binnen een bedrijf.”
“Wanneer ons ter ore komt dat dit niet het geval is, of dat een FG zelfs wordt tegengewerkt, dan spreken we dat bedrijf erop aan. Uit die speldenprikacties kwam overigens naar voren dat twee ziekenhuizen nog steeds geen FG hadden aangesteld.”
