6 Jaar AVG: De stand van zaken van onze privacy

De Algemene Verordening Gegevensbescherming (AVG) is van kracht sinds 25 mei 2018. Het is een wetgeving die van toepassing is op alle lidstaten van de Europese Unie (EU) en is bedoeld om de gegevensprivacy van EU-burgers te beschermen en te reguleren.

De AVG is dus 6 jaar van kracht. Dit heeft een behoorlijke impact gehad op de manier waarop organisaties wereldwijd gegevens verwerken en de privacy van individuen waarborgen.

Wat heeft de AVG de Europeanen gebracht?

De Algemene Verordening Gegevensbescherming (AVG) heeft Europeanen in 6 jaar tijd verschillende voordelen en verbeteringen op het gebied van gegevensbescherming gebracht:

Verhoogde transparantie en controle over persoonsgegevens

De AVG heeft individuen meer inzicht gegeven in hoe hun persoonsgegevens worden verzameld, gebruikt en gedeeld door organisaties. Het vereist dat organisaties duidelijke en begrijpelijke informatie verstrekken over hun gegevensverwerkingsactiviteiten en dat individuen controle hebben over hun gegevens, inclusief het recht op toegang, rectificatie, verwijdering en overdraagbaarheid.

Versterking van gegevensbeschermingsrechten

De AVG heeft de rechten van individuen met betrekking tot hun persoonsgegevens versterkt. Dit omvat onder meer het recht op informatie over gegevensverwerking, het recht op toestemming voor gegevensverwerking, het recht op toegang tot persoonsgegevens, het recht op rectificatie van onjuiste gegevens, het recht op gegevenswissing (“recht om vergeten te worden“), en het recht op gegevensoverdraagbaarheid.

Verbeterde beveiliging van persoonsgegevens

De AVG heeft organisaties verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, onopzettelijk verlies, vernietiging of beschadiging.

Uniforme gegevensbeschermingsstandaarden in de EU

De AVG heeft geleid tot geharmoniseerde gegevensbeschermingsregels in de hele Europese Unie, waardoor een consistente benadering van gegevensbescherming wordt bevorderd en het gemakkelijker wordt voor bedrijven om te voldoen aan de regelgeving in alle lidstaten.

Striktere handhaving en sancties voor inbreuken

De AVG heeft de handhaving van gegevensbeschermingswetten versterkt door toezichthoudende autoriteiten meer bevoegdheden te geven om inbreuken te onderzoeken en boetes op te leggen aan organisaties die de regels overtreden. Dit heeft geleid tot een grotere naleving van gegevensbeschermingsnormen en een verhoogde aandacht voor gegevensbescherming binnen organisaties.

Over het algemeen heeft de AVG Europeanen meer controle gegeven over hun persoonsgegevens en heeft het geleid tot een verbetering van de gegevensbescherming van organisaties in de EU.

Wordt de AVG goed door organisaties en bedrijven opgevolgd?

Over het algemeen gaan we er van uit organisaties en bedrijven de AVG serieus nemen en zich aan de voorschriften houden vanwege de mogelijke boetes en reputatieschade bij niet-naleving. Veel organisaties hebben in de aanloop naar de inwerkingtreding van de AVG aanzienlijke inspanningen geleverd om hun gegevensbescherming te verbeteren en te voldoen aan de nieuwe vereisten.

Dat gezegd hebbende, zijn er nog steeds uitdagingen en lacunes in de naleving. Sommige organisaties hebben moeite met het volledig begrijpen van de vereisten van de AVG, vooral als het gaat om complexe kwesties zoals gegevensoverdracht buiten de EU, gegevensverwerkingsregisters en het omgaan met datalekken. Ook kunnen kleinere bedrijven en organisaties met beperkte middelen meer moeite hebben om volledig te voldoen aan de AVG.

Toezichthoudende autoriteiten in verschillende EU-lidstaten hebben echter veel boetes opgelegd aan organisaties die de AVG hebben overtreden, wat aangeeft dat men actief toezicht houdt en dat men ook stappen onderneemt tegen niet-naleving. Over het algemeen is te verwachten dat de naleving van de AVG zal verbeteren naarmate organisaties meer ervaring opdoen en beter begrijpen hoe ze aan de voorschriften kunnen voldoen.

De meeste bedrijven hebben een Functionaris voor Gegevensbescherming (FG) in dienst

Niet alle bedrijven zijn verplicht om een Functionaris voor Gegevensbescherming (FG) in dienst te hebben onder de AVG. De verplichting om een FG aan te stellen geldt alleen voor bepaalde categorieën van verwerkingsverantwoordelijken en verwerkers, met name:

• Overheidsinstanties en overheidsorganen, behalve rechterlijke instanties bij de uitoefening van hun rechterlijke taken.
• Organisaties die op grote schaal persoonsgegevens verwerken, zoals gevoelige gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
• Organisaties die op grote schaal systematische monitoring van betrokkenen uitvoeren, zoals tracking van online gedrag voor marketingdoeleinden.
• Organisaties waarvan de kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Voor deze organisaties is het verplicht om een FG aan te stellen. Hoewel het voor andere organisaties niet verplicht is, kunnen ze er nog steeds voor kiezen om vrijwillig een FG aan te stellen om te helpen bij de naleving van de AVG en om een betere bescherming van persoonsgegevens te waarborgen. Dit kan vooral nuttig zijn voor organisaties die complexe gegevensverwerkingsactiviteiten hebben of die gegevensverwerking als een integraal onderdeel van hun activiteiten hebben.

Kleinere bedrijven hebben meerdere AVG taken gecombineerd in een functie

In veel gevallen kunnen we de taken en verantwoordelijkheden met betrekking tot gegevensbescherming combineren met andere taken binnen de organisatie, vooral in kleinere organisaties met beperkte middelen. Het is echter belangrijk dat de persoon of personen die verantwoordelijk zijn voor gegevensbescherming voldoende tijd, middelen en expertise hebben om effectief te kunnen handelen en te voldoen aan de vereisten van de AVG.

• Functionaris voor Gegevensbescherming (FG) en IT-Security Officer: De FG kan tevens de rol van IT-Security Officer vervullen, waardoor ze verantwoordelijk zijn voor zowel het coördineren van gegevensbeschermingsactiviteiten als het waarborgen van de beveiliging van IT-systemen en gegevens.
• Privacy Officer en Compliance Officer: Een Privacy Officer kan ook verantwoordelijk zijn voor het toezicht op de algemene naleving van de wet- en regelgeving met betrekking tot gegevensbescherming, waardoor ze de rol van Compliance Officer combineren met hun taken op het gebied van gegevensbescherming.
• Gegevensbeschermingsfunctionaris (GBF) en Privacy Officer: Als een organisatie ervoor kiest om een GBF aan te stellen in plaats van een FG, kan deze persoon ook de rol van Privacy Officer op zich nemen, waarbij ze verantwoordelijk zijn voor het coördineren van gegevensbeschermingspraktijken en het waarborgen van de algemene privacy van de organisatie.

Hoewel het combineren van taken binnen de organisatie kan helpen om efficiëntie en kostenbesparingen te realiseren, is het belangrijk om ervoor te zorgen dat de persoon of personen die verantwoordelijk zijn voor gegevensbescherming voldoende tijd en middelen hebben om hun taken effectief uit te voeren en te voldoen aan de vereisten van de AVG. Dit kan betekenen dat ze moeten worden vrijgesteld van andere taken of dat ze toegang moeten hebben tot de nodige ondersteuning en expertise binnen de organisatie.

AVG achterstanden bij organisaties en bedrijven

Hoewel veel bedrijven in de Europese Unie stappen hebben ondernomen om te voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG), zijn er nog steeds enkele bedrijven die achterlopen op het gebied van naleving. Het niveau van naleving kan sterk variëren afhankelijk van verschillende factoren, waaronder de omvang en middelen van het bedrijf, de sector waarin het opereert, en de complexiteit van de gegevensverwerkingsactiviteiten.

• Kleinere bedrijven en organisaties met beperkte middelen hebben mogelijk meer moeite om te voldoen aan de AVG vanwege de kosten en complexiteit van compliance. Ze kunnen bijvoorbeeld niet over de nodige juridische, technische of personele middelen beschikken om gegevensbeschermingsmaatregelen te implementeren en te onderhouden.
• Grote bedrijven hebben vaak meer middelen en expertise tot hun beschikking, maar ze kunnen nog steeds uitdagingen tegenkomen bij het implementeren van effectieve gegevensbeschermingsmaatregelen, vooral als ze te maken hebben met complexe gegevensverwerkingsprocessen of als ze actief zijn in meerdere rechtsgebieden.

Het is belangrijk op te merken dat naleving van de AVG een voortdurend proces is dat regelmatige evaluatie en bijwerking vereist om te blijven voldoen aan veranderende regelgeving en beste praktijken op het gebied van gegevensbescherming. Terwijl sommige bedrijven mogelijk al goed op weg zijn naar naleving, kunnen anderen nog steeds achterlopen en kunnen ze verdere inspanningen nodig hebben om volledig te voldoen aan de AVG. Toezichthoudende autoriteiten houden actief toezicht en kunnen boetes opleggen aan organisaties die niet aan de vereisten voldoen.

Het verzuimen van maatregelen of het overtreden van de regels

De afgelopen jaren zijn er boetes onder de AVG opgelegd voor zowel het verzuimen van passende gegevensbeschermingsmaatregelen als voor het overtreden van specifieke regels die zijn vastgesteld in de verordening. Hier zijn enkele voorbeelden van situaties waarin boetes zijn opgelegd:

• Verzuim van maatregelen: Organisaties kunnen boetes krijgen als ze niet voldoen aan hun verplichtingen onder de AVG om passende technische en organisatorische maatregelen te implementeren om de gegevens van individuen te beschermen. Dit kan bijvoorbeeld het ontbreken van adequate beveiligingsmaatregelen omvatten, zoals het niet versleutelen van gevoelige gegevens of het niet implementeren van toegangscontroles.
• Overtreding van specifieke regels: Boetes kunnen ook worden opgelegd als een organisatie specifieke bepalingen van de AVG overtreedt. Dit kan onder meer het verwerken van persoonsgegevens zonder geldige toestemming van betrokkenen, het niet naleven van de rechten van individuen met betrekking tot hun gegevens, het niet adequaat reageren op datalekken, of het doorgeven van persoonsgegevens aan derden zonder passende waarborgen omvatten.

Over het algemeen kunnen boetes worden opgelegd voor zowel nalatigheid als actieve inbreuken op de gegevensbeschermingsregels, afhankelijk van de specifieke omstandigheden van elke zaak. De hoogte van de boete kan variëren afhankelijk van de ernst van de inbreuk, de omvang van de organisatie en andere relevante factoren.

Wat komt het meeste voor, verzuimen of overtreden?

Het is moeilijk om precies te zeggen wat het meest voorkomt, omdat de aard van de inbreuken onder de AVG kan variëren afhankelijk van verschillende factoren, zoals de sector waarin een organisatie opereert, de omvang van de organisatie, en de aard van de verwerkte gegevens.

Over het algemeen kunnen zowel nalatigheid als actieve inbreuken voorkomen, en ze kunnen betrekking hebben op verschillende aspecten van gegevensbescherming. Enkele veelvoorkomende inbreuken die tot boetes hebben geleid onder de AVG zijn onder meer:

1. Onvoldoende beveiligingsmaatregelen: Organisaties die niet de nodige technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, openbaarmaking, vernietiging of wijziging, kunnen boetes krijgen.
2. Onrechtmatige gegevensverwerking: Dit omvat het verwerken van persoonsgegevens zonder de juiste wettelijke grondslag, zoals toestemming van betrokkenen of een andere rechtmatige basis zoals contractuele verplichtingen of wettelijke verplichtingen.
3. Schending van de rechten van betrokkenen: Organisaties moeten voldoen aan de rechten van individuen met betrekking tot hun persoonsgegevens, zoals het recht op toegang, rectificatie, verwijdering en bezwaar. Schendingen van deze rechten kunnen leiden tot boetes.
4. Onvoldoende reactie op datalekken: Organisaties moeten passende maatregelen nemen om datalekken te voorkomen en moeten adequaat reageren wanneer ze zich voordoen. Het niet tijdig melden van een datalek aan de toezichthoudende autoriteit of aan de betrokkenen kan tot boetes leiden.

De meest voorkomende inbreuken kunnen variëren afhankelijk van verschillende factoren, maar over het algemeen kunnen organisaties boetes krijgen voor een breed scala aan schendingen van de gegevensbeschermingsregels onder de AVG.

Sommige bedrijven hebben geen of weinig AVG maatregelen genomen

Het is moeilijk om specifieke bedrijven te identificeren die geen of weinig maatregelen hebben genomen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), omdat deze informatie meestal niet openbaar beschikbaar is en nalevingsniveaus kunnen variëren afhankelijk van verschillende factoren, zoals bedrijfsgrootte, sector en geografische locatie.

Over het algemeen zijn kleinere bedrijven en organisaties met beperkte middelen vaak meer uitdagend om volledig te voldoen aan de AVG vanwege beperkte financiële en personele middelen. Dit kan leiden tot een lagere mate van naleving of tot vertragingen bij het implementeren van gegevens-beschermings-maatregelen.

Sommige sectoren kunnen ook meer moeite hebben met naleving van de AVG, vooral als ze te maken hebben met complexe gegevensverwerking of als gegevensbescherming niet tot hun kernactiviteiten behoort.

Het is belangrijk op te merken dat toezichthoudende autoriteiten in de Europese Unie verantwoordelijk zijn voor het handhaven van de AVG en het opleggen van boetes aan organisaties die niet voldoen aan de vereisten van de verordening. Deze autoriteiten kunnen onderzoeken uitvoeren naar vermeende inbreuken en boetes opleggen aan overtreders.

Hoeveel boetes zijn er al in EU lidstaten opgelegd?

Het aantal boetes dat is opgelegd onder de AVG varieert en wordt regelmatig bijgewerkt naarmate nieuwe inbreuken worden onderzocht en beboet. Verschillende toezichthoudende autoriteiten in EU-lidstaten hebben boetes opgelegd aan organisaties die inbreuk hebben gemaakt op de AVG.

Tot op heden zijn er enkele aanzienlijke boetes uitgedeeld aan grote organisaties, zoals technologiebedrijven en financiële instellingen, voor schendingen van de gegevensbeschermingsregels. Het totale aantal boetes en de totale boetebedragen variëren echter sterk van land tot land en ondervinden ook invloed van factoren zoals de ernst van de schending en de omvang van de organisatie.

Het is raadzaam om actuele bronnen of rapporten van toezichthoudende autoriteiten te raadplegen voor de meest recente informatie over boetes onder de AVG.

De gemiddelde hoogte van de boetes

Het gemiddelde bedrag van boetes onder de AVG kan sterk variëren en is afhankelijk van verschillende factoren, waaronder de ernst van de inbreuk, de omvang en financiële situatie van de organisatie, en de omstandigheden rondom de inbreuk.

In sommige gevallen kunnen boetes relatief laag zijn, vooral als het gaat om minder ernstige inbreuken of kleine organisaties met beperkte middelen. Aan de andere kant kunnen boetes aanzienlijk zijn, met name voor grootschalige of herhaalde inbreuken door grote organisaties.

Enkele van de hoogste boetes die zijn opgelegd onder de AVG waren in de miljoenen euro’s. Dit waren echter uitzonderlijke gevallen die vaak gepaard gingen met ernstige schendingen van de gegevensbeschermingsregels door grote organisaties.

Het is belangrijk op te merken dat de hoogte van boetes kan verschillen tussen EU-lidstaten, aangezien elke lidstaat zijn eigen wetgeving heeft voor het bepalen van boetes onder de AVG. Daarom is er geen vast gemiddeld bedrag van boetes onder de AVG, maar eerder een breed scala aan mogelijke boetebedragen, afhankelijk van de specifieke omstandigheden van elke zaak.

Conclusie: de AVG voldoet aan de verwachtingen

Over het algemeen kunnen we zeggen dat de Algemene Verordening Gegevensbescherming (AVG) aan veel van de verwachtingen heeft voldaan die gesteld waren bij de invoering ervan. Hier zijn enkele redenen waarom men de AVG over het algemeen als succesvol beschouwd:

1. Verhoogde Bewustwording: De AVG heeft een aanzienlijke bijdrage geleverd aan het vergroten van het bewustzijn over gegevensbescherming bij zowel organisaties als individuen. Het heeft geleid tot meer openheid en transparantie over hoe persoonsgegevens worden verzameld, gebruikt en verwerkt.
2. Versterking van Gegevensbeschermingsrechten: De AVG heeft de rechten van individuen met betrekking tot hun persoonsgegevens versterkt en heeft hen meer controle gegeven over hoe hun gegevens worden verwerkt. Dit heeft geleid tot een verbetering van de privacybescherming voor Europese burgers.
3. Uniforme Gegevensbeschermingsnormen: De AVG heeft geleid tot geharmoniseerde gegevensbeschermingsregels in de hele Europese Unie, waardoor een consistente benadering van gegevensbescherming wordt bevorderd en het gemakkelijker wordt voor bedrijven om te voldoen aan de regelgeving in alle lidstaten.
4. Strikte Handhaving en Sancties: Toezichthoudende autoriteiten hebben actief toezicht gehouden op de naleving van de AVG en hebben boetes opgelegd aan organisaties die de regels overtreden. Dit heeft bijgedragen aan een grotere naleving van gegevensbeschermingsnormen en heeft organisaties aangespoord om gegevensbescherming serieus te nemen.

Hiernaast zijn er echter ook nog enkele uitdagingen en gebieden waarop verbetering mogelijk is. Sommige critici wijzen bijvoorbeeld op de complexiteit van de AVG en de kosten en administratieve lasten die gepaard gaan met naleving ervan, vooral voor kleinere bedrijven. Ook zijn er zorgen geuit over de consistentie van handhaving en de noodzaak van verdere begeleiding en ondersteuning voor organisaties bij het begrijpen en naleven van de AVG.

Discussieer mee op ITpedia LinkedIn of op Financial Executives LinkedIn.