De AVG is van kracht: wat nu?

Waarschijnlijk denkt u: 'zo, zijn we daar eindelijk vanaf, dat hele circus rondom die privacy'. Een logische gedachte. De afgelopen maanden werd iedereen vermoeid met de zoveelste waarschuwing over de nieuwe privacywetgeving. Twijfelend hebt u zich afgevraagd of u ook een workshop zou moeten volgen, handleidingen zou moeten doorspitten of u zich als zoekende moest inschrijven bij een van de vele privacy-compliance bedrijfjes die keurmerken afgeven over de mate van compliance. Misschien bent u ook bang gemaakt door de berichten van de toezichthouder, de Autoriteit Persoonsgegevens (AP). De AP waarschuwde al dat zij vele nieuwe soldaten had aangetrokken in de hoop de oorlog tegen privacy schendingen te winnen. Op basis van de berichten in de media en de waarschuwingen van de AP is het terecht dat u zich zorgen hebt gemaakt en u zichzelf dit soort vragen hebt gesteld.

 

En zelfs als u uzelf deze vragen niet hebt gesteld, zal de inwerkingtreding van de AVG u niet ontgaan zijn door de vele e-mails van de afgelopen weken die u hebt ontvangen. Hieronder ziet u ter illustratie een selectie van de bedrijven die de twee schrijvers van deze blog in de afgelopen paar dagen hebben gemaild over de bescherming van privacy:

 

Intermediair, Tidal, TransIP, Scorito.com, Deliveroo, Uber, MyOV, Spotify, Nike, NS, Ryanair, NLZiet, Mailchimp, Foodora, Financieel Dagblad, Ticketmasterm, eBay, wehkamp, Dentos, The Quora Team, OH MY Music Festival, Canva, Spotify, IFFTTT, AIPPI Mail, Postcrossing en Kamernet.

 

Opvallend is hoe bedrijven deze mails insteken. Het grootste deel van de mails bestaat uit de melding dat de privacy policy van het bedrijf is aangepast. Een ander deel van de voornoemde bedrijven vraagt in de mail (deels overbodig) nogmaals expliciet om toestemming ('Wil je deze fantastische nieuwsbrief blijven ontvangen? Klik dan hier!'). Anderen zijn nog creatiever ('We verdwijnen uit jouw inbox. Je wilt ons toch wel behouden?'). Een aantal bedrijven had nog wel een leuke speling in de door hen verstuurde e-mails. Ze begonnen met een tekst als: dit zal wel de zoveelste mail zijn die je ontvangt, maar we hebben onze privacy policy aangepast. Deze speling bleek echter weinig origineel, toen er nadien nog vele mails binnenkwamen met diezelfde openingszin.

 

Een bijzonder fenomeen: al die e-mails. Velen van ons vergeten door de AVG-gekte nog wel eens dat we al 17 jaar een 'privacywet' in Nederland hadden: namelijk de Wet bescherming persoonsgegevens. Deze wet is per 25 mei ingetrokken, maar op grond van die wet was het al verplicht om een reden (grondslag) te kunnen aantonen voor bijvoorbeeld het versturen van e-mails aan klanten. Wij denken dat een deel van de bedrijven de toestemming niet goed heeft vastgelegd en nu de kriebels krijgt. Ook zal een ander deel van de bedrijven deze nieuwe wet aangrijpen om nog eens contact te zoeken met de klant, of de klant een privacy-gerelateerde aanbieding te doen. Zo heeft een van de auteurs zich tien jaar geleden geregistreerd als gebruiker van een platform dat ook een mailtje stuurde, maar dit platform al jaren niet meer gebruikt. De grondslag voor dit bedrijf om nog steeds persoonsgegevens te bewaren, ontbreekt daarom volledig. Een mailtje sturen rechtvaardigt dat niet.

 

Bedrijven dienen – in plaats van e-mails te versturen – na te gaan of hun interne privacy beleid ook echt zo werkt als het verhaal dat zij naar buiten brengen. Is er bij deze bedrijven een duidelijk beeld over hoe zij aan deze gegevens komen, waarom zij deze opslaan en hoe lang zij deze mogen bewaren? Wij betwijfelen het.

 

De AVG is nu in ieder geval van kracht en de regels zullen moeten worden nageleefd. Het is een misvatting dat bedrijven en instellingen die aan de hand van de nieuwe regelgeving hun bedrijfsprocessen opnieuw hebben ingericht, nu helemaal klaar zijn met hun verplichtingen. De AVG is geen deadline die op het moment van behalen ophoudt relevant te zijn. De AVG vereist een blijvende, constante focus op het voldoen aan de privacyregels. Zo zullen bedrijven bij nieuwe categorieën van verwerking ook een nieuwe grondslag moeten vinden. Het verwerkingsregister moet up-to-date blijven en data die niet meer noodzakelijk is, moet steeds verwijderd worden uit de systemen. Datalekken moet tijdig gemeld worden en bedrijven moeten rekening blijven houden met de stand der techniek als het gaat om de organisatorische en technische maatregelen die zijn genomen in het kader van de beveiliging van de door hun bewaarde persoonsgegevens.

 

De AVG gaat niet alleen om het sturen van een mailtje naar de gebruiker. Vóór 25 mei moesten bedrijven al hun bedrijfsprocessen zo inrichten dat deze voldoen aan de AVG, maar de naleving daarvan duurt vanaf de inwerkingtreding elke dag voort. Net nu je dacht ervan af te zijn..