‘Regels privacywet AVG worden massaal geschonden’

De regels van de nieuwe Europese privacywetgeving (AVG) worden in Nederland ‘massaal geschonden’. Er is vooral veel verwarring over wie verwerker is van persoonsgegevens en wie verantwoordelijkheid draagt.

Dat verklaarden juristen maandag bij BNR Nieuwsradio. De verwarring is vooral groot in het MKB. Veel bedrijven zijn nog bezig te inventariseren wat zij precies met persoonsgegevens moeten doen. In de publieke sector, waar een functionaris voor de gegevensbescherming verplicht is, is het ook niet best gesteld. Volgens de door BNR geraadpleegde juristen weten de betrokken functionarissen, ‘als die al zijn aangesteld, meestal van toeten noch blazen’.

Veel bedrijven kennen zichzelf een verkeerde rol toe

Senior consultant Saida Nhass van risico-adviseur AON zegt dat er veel verwarring bestaat over de termen ‘verwerker’ en ‘verantwoordelijke’ rondom de verwerking van persoonsgegevens. ‘Veel bedrijven kennen zichzelf een verkeerde rol toe, waardoor zij niet integraal verantwoordelijk zijn voor naleving van de AVG en de wet schenden.’ Volgens Nhass is de regelgeving soms zo onduidelijk dat ook juristen er wel eens mee de fout ingaan.

Ook juristen gaan er wel eens de fout mee in

Nhass pleit ervoor om samen met andere landen te proberen meer duidelijkheid te krijgen in de uitleg van de regels van de AVG. Er is een cultuurverandering nodig, stellen ook andere juristen.

Aleid Wolfsen, directeur van de toezichthoudende Autoriteit Persoonsgegevens (AP), stelt dat de invoering van de regelgeving van de AVG niet is mislukt. Volgens hem gaat het juist de goede kant op: ‘Er is een grote bewustwording over privacy op gang gekomen. En er zijn al bijna 8000 functionarissen gegevensbescherming bij de AP aangemeld.’

Wolfsen erkende bij BNR dat het ingewikkeld is voor organisaties om te bepalen wie precies verantwoordelijk is voor welk deel van de verwerking van privacygegevens. Zo kan het volgens hem voorkomen dat gegevensverwerkers (en ook ingehuurde bedrijven) gaan meebeslissen over gegevensverwerking en daarmee in bepaalde mate verantwoordelijk worden. ‘Bij contracten wordt dan veel gediscussieerd over bij wie de verantwoordelijkheid belegd moet worden.’
De AP overlegt in Europees verband over nieuwe guidelines die gebruikers meer duidelijkheid moeten gaan bieden.

‘Dwangsommen die in de tonnen lopen’

Volgens Wolfsen heeft de AP al boetes opgelegd. Hij wilde voor de radio niet ingaan op de vraag wie er zijn beboet. ‘Het moet geen schandpaal worden’, zei hij. Ook zijn dwangsommen opgelegd die in sommige gevallen volgens Wolfsen ‘in de tonnen lopen’. Een woordvoerder van de AP meldde de NOS later dat deze hoge dwangsommen werden opgelegd tijdens de voorganger van de AVG, de Wet bescherming persoonsgegevens.

Bekend is dat de Autoriteit Persoonsgegevens (AP) eind 2017 een dwangsom heeft ingevorderd van 48.000 euro bij Theodoor Gilissen Bankiers (nu InsingerGilissen Bankiers). De bank gaf volgens de AP in eerste instantie geen gehoor aan een verzoek van een klant om inzage in zijn persoonsgegevens.
Omdat de bank na oplegging van de dwangsom nog altijd niet volledig voldeed aan het verzoek, heeft de AP de dwangsom ingevorderd. De betrokken klant heeft uiteindelijk inzage gekregen in zijn persoonsgegevens. De bank is tegen het invorderingsbesluit van de AP in beroep gegaan.

Ondernemingsraad en het privacyreglement

De ondernemingsraad heeft bij de privacywetgeving de rol van de waakhond, die controleert hoe gegevensbescherming in de praktijk uitpakt. Or-coach Johan Berendse raadt de ondernemingsraad aan zich te richten op de problemen en de kansen van het privacyreglement. ‘Daar heeft een or meerwaarde.’

• Tip! download de gratis whitepaper: De Europese privacywet (AVG)

Lees meer over privacywet en ondernemingsraad:

• Instemmingsrecht bij aanpassing van privacybeleid
• Informatie- en initiatiefrecht bij nieuw privacybeleid
• Zorg voor een werkbaar privacyreglement
• Privacywet: or kan passende keuzes maken