AVG: de stand van zaken

Op 25 mei 2018 trad de algemene verordening gegevensbescherming (AVG) in werking. In de weken daaraan voorafgaand zult u ongetwijfeld vele e-mails hebben ontvangen van bedrijven die uw gegevens in hun nieuwsbriefbestand hebben opgenomen en toestemming vroegen om u ook in de toekomst nog te kunnen blijven mailen. U zult allerlei privacy verklaringen voorbij hebben zien komen en misschien bent u er zelf ook wel mee bezig geweest. Kortom: de AVG kan u niet ontgaan zijn.

Na anderhalve maand AVG begint men langzaamaan te wennen aan de nieuwe en verscherpte regels. Bij de Autoriteit Persoonsgegevens zijn inmiddels ruim 600 klachten ingediend. De Autoriteit Persoonsgegevens heeft deze klachten in behandeling en volgens het persbericht op haar website zijn de eerste 400 klachten inmiddels geanalyseerd. Wat daarbij vooral opvalt is dat mensen problemen ondervinden met een verwijderingsverzoek. Bijna een derde van de klachten gaat hierover. Mensen willen hun gegevens ergens online verwijderd hebben, bijvoorbeeld omdat ze geen nieuwsbrieven of reclame meer willen ontvangen en krijgen dat niet voor elkaar of lopen tegen drempels op. Verder gaat 18% van de klachten over verstrekking van gegevens aan derden en 5% over inzageverzoeken. Het merendeel van de klachten (87%) gaat over bedrijven, de rest over overheidsinstanties.

De eerste voorbeelden van bedrijven die hun privacybeleid aan moesten passen zijn er ook al: Facebook heeft mede naar aanleiding van het onderzoek van de Autoriteit Persoonsgegevens haar gegevensbeleid aangepast. Gebruikers worden nu door Facebook uitgebreider geïnformeerd over: de aard van de persoonsgegevens die worden verwerkt, de doeleinden van deze verwerking, met wie en hoe persoonsgegevens worden gedeeld, en de rechtsgronden van de verwerking.

Misschien volgt binnenkort de Belastingdienst: die handelt namelijk in strijd met de AVG door gebruik van het BSN als btw-nummer. Het BSN is een wettelijk identificatienummer om de communicatie tussen overheid en burgers te vergemakkelijken. Burgers kunnen met hun BSN bij elk loket van de overheid terecht. Het voordeel van een BSN is dat burgers hun persoonsgegevens niet bij elke overheidsorganisatie steeds opnieuw hoeven aan te leveren. Dit maakt het tegelijk kwetsbaar: als het BSN in kwaadwillende handen valt, kan het mogelijk leiden tot identiteitsfraude. Een kwaadwillende kan met de persoonsgegevens van een ander bijvoorbeeld een auto huren en daarmee schade veroorzaken. Zelfstandigen met een eenmanszaak kunnen hun BSN niet beschermen. Zij zijn verplicht hun BSN kenbaar te maken omdat het BSN een onderdeel vormt van hun btw-identificatienummer.

De Belastingdienst heeft geen wettelijke basis om het burgerservicenummer (BSN) te gebruiken in het btw-identificatienummer van zelfstandigen met een eenmanszaak. Dit blijkt uit onderzoek van de Autoriteit Persoonsgegevens. De Belastingdienst moet de geconstateerde overtredingen dus zo snel mogelijk beëindigen. Gebeurt dat niet, dan kan de Autoriteit Persoonsgegevens handhavende maatregelen treffen en een boete opleggen.

Naast deze voorbeelden van gevolgen van de AVG zijn er natuurlijk ook mensen die er een slaatje uit proberen te slaan. Zo waarschuwde de Autoriteit Persoonsgegevens op 7 juni 2018 al voor een nep-keurmerk: “De Autoriteit Persoonsgevens (AP) waarschuwt voor bedrijven die zeggen dat ze een keurmerk kunnen afgeven waarmee organisaties aan kunnen tonen dat ze helemaal voldoen aan de Algemene verordening gegevensbescherming (AVG). Dit soort bedrijven zegt soms nauw samen te werken met de Nederlandse toezichthouder op de privacywetgeving, maar dat klopt niet. De AP heeft geen AVG-keurmerk goedgekeurd. De AP is wel betrokken bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Een AVG-certificaat is een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Organisaties die persoonsgegevens verwerken kunnen met een AVG-certificaat laten zien dat ze de persoonsgegevens zorgvuldig verwerken en beschermen.” (zie: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-waarschuwt-voor-misleidend-avg-keurmerk)

Op 22 juni 2018 waarschuwde de Autoriteit Persoonsgegevens voor een oplichter: “De Autoriteit Persoonsgegevens (AP) krijgt signalen dat organisaties worden gebeld dat zij een boete moeten betalen omdat hun website niet voldoet aan de AVG. Deze persoon doet zich voor als iemand die namens de Autoriteit Persoongegevens (voorheen CBP) belt. Dit is niet het geval. Dit is geen actie vanuit de AP. Een boete van de AP komt nooit uit de lucht vallen.” (zie: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-waarschuwt-voor-oplichter)

Pas dus goed op met berichten over boetes of keurmerken.

Wilt u meer weten over de AVG of bent u zelf nog niet helemaal AVG-proof: neem dan contact op met mevrouw mr. Christel van den Reek. Zij kan u helpen met het opstellen van documenten, het uitoefenen van uw rechten en met het indienen van een klacht over een inbreuk op uw privacy.