Is de privacywet een papieren tijger?

Deze week werd bekend dat de gemeente Enschede 600 duizend euro boete moet betalen vanwege het overtreden van de privacywetgeving. Toen de Algemene Verordening Privacy (AVG) inging op 25 mei 2018, waren veel organisaties in Nederland in rep en roer. Mag de voetbalvereniging de naam van de topscorer nog wel op internet zetten? Krijgt de bakker een boete als iemand de lijst met bestellingen ziet? Het ‘AVG-proof’ maken van organisaties was voor veel consultants een lucratieve bijverdienste. Nu, bijna drie jaar later, is pas de twaalfde boete uitgedeeld. Is de privacywet een papieren tijger? En wat houdt de AVG in?

De verordening is de Nederlandse vertaling van de Europese General Data Protection Regulation (GDPR). Die ging in 2016 in, landen hadden twee jaar de tijd om de regels in de nationale wetgeving vast te leggen. In die tijd gingen er flink wat spookverhalen rond. Het zou verboden zijn om foto’s te maken waar mensen op staan. Minister voor Rechtsbescherming Sander Dekker beloofde dat de autoriteit heus niet op 26 mei bij de voetbalclub op de stoep zou staan, grote bedrijven ‘die er met de pet naar gooien’ zouden een probleem hebben.

Wat houden de regels precies in? De Kamer van Koophandel heeft tussen het verkopen van telefoonnummers aan energiebedrijven door tijd gevonden om uit te leggen wat de AVG betekent voor bedrijven. Belangrijk is dat organisaties een ‘grondslag’ moeten hebben voor alle persoonsgegevens die ze beheren, een goede reden. Ze moeten duidelijk maken wat voor gegevens ze bewaren en waarom en klanten kunnen hun ‘privacyrecht’ uitoefenen. U mag bij iedereen die uw gegevens heeft vragen om inzage en ook heeft u recht op vergetelheid. U kunt uw gegevens laten verwijderen, als die niet nodig zijn voor de dienstverlening of er een wettelijke plicht is om ze te bewaren.

De gemeente Enschede is de eerste overheidsinstantie die een AVG-boete heeft gekegen. In de binnenstad maakte de gemeente gebruik van wifi-sensoren om de drukte te meten, maar hierdoor waren de individuele telefoons van het winkelpubliek te volgen. Bovendien bewaarde de gemeente de gegevens lange tijd. Eerdere boetes gingen bijvoorbeeld naar Uber en Booking vanwege het te laat melden van datalekken, naar twee ziekenhuizen die de patiëntendossiers niet goed beveiligd hadden, en de tennisbond die gegevens van leden verkocht aan commerciële bedrijven.

De 6 ton valt in het niet bij de boete van 50 miljoen die Frankrijk in 2018 aan Google oplegde, en in Duitsland moest H&M ruim 35 miljoen euro betalen. In Italië is het hoogste bedrag aan boetes uitgedeeld, ruim 76 miljoen. In Nederland gaat het tot nu toe om iets meer dan 5 miljoen euro.

De Autoriteit Persoonsgegevens waarschuwt enkele duizenden organisaties per jaar, en legde in totaal acht dwangsommen op om de overtreders tot snelle actie te manen. Dit laatste overkwam de politie zelfs twee keer. Om aan de wettelijke taak te blijven voldoen zijn veel meer mensen nodig stelt de AP, ze willen de komende vier jaar groeien van 184 naar 470 werknemers.

Met zo’n vier boetes per jaar lijkt een gemiddeld bedrijf niet veel risico te lopen. Het kan natuurlijk dat iedereen zich door de invoering van de wet heel erg bewust is van de privacyregels, maar waarschijnlijker is dat uw gegevens nog steeds te pas en te pas worden ingezien.