De sleepwet, camera’s boven de snelweg, middelbare scholieren van wie iedere (mis)stap via een app door de ouders gevolgd kan worden: privacy raakt iedereen. Met de komst van de Algemene Verordening Gegevensbescherming (AVG, ook wel aangeduid met Engelse afkorting GDPR) per 25 mei 2018 is er geen organisatie meer die het privacy recht nog kan negeren. Ook bedrijven die alleen B2B relaties hebben, ontkomen niet aan de maatregel.

Dus ook bedrijven als de NOVE-leden dienen maatregelen te nemen om aan de nieuwe regelgeving te voldoen. Onvermijdelijk worden ook door B2B bedrijven immers gegevens verwerkt van personeel, klanten en (website)bezoekers. In deze bijdrage wordt op enkele belangrijke aspecten van de nieuwe regelgeving ingegaan.

Is het boeterisico nu echt zo groot?
Veel van de maatregelen die de AVG eist, zijn onder de huidige Wet bescherming persoonsgegevens ook al verplicht. Ook de Wbp eist immers zorgvuldige verwerking, doelbinding en een legitieme grondslag, adequate beveiliging en transparantie.

De AVG heeft met name veel aandacht gekregen vanwege de potentieel draconische boetes die de privacy-autoriteiten kunnen opleggen. Tot 4% van de wereldwijde omzet. Dat heeft veel bedrijven schrik aangejaagd. Het is de vraag, hoe ‘trigger happy’ de privacy-autoriteiten zullen zijn. In Nederland hebben we al enige ervaring, doordat de Autoriteit Persoonsgegevens (AP) sinds 1 januari 2016 (anders dan de meeste andere Europese toezichthouders) reeds over een boetebevoegdheid beschikt. Tot op heden zijn geen boetes opgelegd. In de Wbp is echter de verplichting opgenomen voor de AP om eerst een bindende aanwijzing te geven alvorens een boete op te leggen. Dit gebeurde op aandringen van de Raad van State die stelde dat de privacywetgeving zoveel vage begrippen kent, dat onmiddellijke boeteoplegging in strijd met het rechtszekerheidsbeginsel zou zijn. Alleen bij opzettelijke overtredingen of ernstig verwijtbare nalatigheid zijn onder de Wbp onmiddellijke boetes mogelijk. De verordening kent deze bindende aanwijzing niet.

Ook in de concept-uitvoeringswet is deze niet opgenomen – ondanks dat nog altijd sprake is van een grote hoeveelheid vage begrippen. Uit de parlementaire geschiedenis en uit recente uitingen van de AP ontstaat echter wel het beeld dat de AP niet wild om zich heen zal (kunnen) slaan met boetes, zodra de AVG van kracht wordt. Ik verwacht niet, dat organisaties die te goeder trouw trachten compliant te zijn, snel met boetes geconfronteerd zullen worden als de AP van oordeel is dat het privacybeleid enkele hiaten bevat. Organisaties die de nieuwe wetgeving niet serieus nemen zullen echter wel op hun tellen moeten passen als de AP op de stoep staat.

Wat zijn de meest essentiële stappen? 
Privacy compliance onder de AVG begint met het tot stand brengen van het verplichte volledige register van verwerkingen, onderverdeeld naar de meest belangrijke bedrijfsprocessen zoals HR, ICT en marketing. Het in kaart brengen van alle verwerkingen, blijkt in de praktijk een belangrijke stap tot privacy-bewustwording in organisaties. Als alle verwerkingen bekend zijn, kan beoordeeld worden of de verwerkingen rechtmatig zijn. Bestaat er wel een grondslag voor de verwerking?, zijn afspraken vastgelegd met verwerkers en ontvangers?, is de beveiliging op orde?, zijn de verwerkingen niet overmatig en zijn betrokkenen geïnformeerd? Allemaal vragen die aan de hand van het register beantwoord kunnen worden. 

Onduidelijkheden
De regelgeving perfect naleven blijft een lastige uitdaging, met name voor internationale organisaties. Ondanks dat sprake is van een Verordening, zijn namelijk niet alle aspecten volledig geharmoniseerd. Lidstaten hebben enige beleidsruimte, bijvoorbeeld ten aanzien van de verwerking van bijzondere categorieën van persoonsgegevens en wat betreft de mate waarin toestemming gehanteerd kan worden als grondslag in de arbeidsrechtelijke context. Veel nationale uitvoeringswetten zijn nog niet af. Een opvallend aspect dat al wel duidelijk is, is dat de verplichting om een Functionaris voor de Gegevensbescherming aan te stellen (in Nederland voor de meeste B2B-bedrijven niet verplicht) veel eerder aan de orde is in Duitsland. Reeds bij tien werknemers die persoonsgegevens verwerken, ontstaat deze verplichting bij onze Oosterburen. Een ander probleem is, dat de e-privacy Verordening – die naast de AVG zal gelden – waarin zaken als cookies en direct marketing geregeld worden, nog niet af is. Dit maakt het lastig om op die punten al definitief beleid vast te stellen.
Ondanks deze onduidelijkheden zal iedere organisatie flink aan de bak moeten om op tijd aan de regelgeving te voldoen. Het is een onvermijdelijk proces dat niet eindigt op 25 mei aanstaande. Privacy compliant worden is niet simpel een kwestie van vinkjes zetten. Het is de bedoeling dat de gehele organisatie zich bewust wordt van het belang van zorgvuldige verwerking van persoonsgegevens en daar actief naar gaat handelen.

Martin Hemmer, Partner IP, IT & Privacyrecht, AKD advocaten | notarissen | belastingadviseurs | 088 253 5000 | MHemmer@akd.nl

NOVE Visie 2018.01

Op 25 april organiseert NOVE een workshop over twee actuele onderwerpen: betalingsverkeer en de privacywetgeving. Klik hier voor meer info of meld je direct aan