AVG viert haar eerste lustrum: Wat heeft het ons gebracht?

De Algemene Verordening Gegevensbescherming (hierna: AVG) is ingegaan op 25 mei 2018. Zo heeft zij haar voorganger, de Wet bescherming persoonsgegevens (Wbp) vervangen. Donderdag aanstaande is de AVG alweer 5 jaar van kracht. Daar moeten wij als juristen en advocaten natuurlijk gehoor aangeven! Daarom vertellen onze specialisten op het gebied van Privacy/ICT, Security en Compliance Anne Peters en Jelle Faber u vandaag meer.

Juridische en praktische impact

De AVG is een Verordening en in heel Europa moet worden voldaan aan de eisen van de AVG/GDPR.
Er zijn inmiddels substantiële boetes opgelegd door de AP bij handhaving van deze privacyregelgeving. Ook is er inmiddels al veel AVG-jurisprudentie gepubliceerd. Het aantal datalekken neemt ook substantieel toe. Toch zien we in de praktijk dat de toepassing, uitvoering en het voldoen aan de AVG nog vaak lastig is. Dit onder meer omdat niet alles juridische uitgekristalliseerd is, bekend is en ook nog veel hardnekkige misverstanden blijven bestaan.   

Privacy risico’s en focusgebied vanuit de toezichthouder bezien

De Autoriteit Persoonsgegevens (AP) geeft in haar beleidsdocument focus 2020-2023 aan dat risico’s van de digitaliserende samenleving voor de bescherming van persoonsgegevens groot, divers en complex zijn, vandaar dat de AP zich heeft genoodzaakt om te kiezen uit 3 focusgebieden, die in de aangegeven periode tot 2023 extra nadruk zullen krijgen en waarbinnen weer specifieke aandacht zal worden gegeven aan de volgende gebieden: (1) Datahandel, Data en aandachtsgebieden: toezicht op doorverkoop data, IOT, profilering, behaviorial advertising, (2) Digitale overheid en gebieden van aandacht: beveiliging van data, smart cities, samenwerkingsverbanden, verkiezingen en microtargeting, (3) Artificiële Intelligentie & algoritmes en aandachtsgebied: het stelsel van toezicht.

Belangrijke ontwikkelingen in de (Europese) AVG-jurisprudentie

We zien met name het afgelopen jaar een aantal belangrijke thema`s vaker terugkomen in arresten van het Hof van Justitie van de Europese Unie. Onder meer: bescherming van de rechten van betrokkenen (met name de omvang van het inzagerecht op grond van art. 15 AVG), de reikwijdte van het begrip ‘bijzondere persoonsgegeven’(art. 9 AVG), internationale doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER), schadevergoeding als gevolg van privacy schendingen (art. 82 AVG) en tot slot collectieve acties bij inbreuk op basis van de Wet afwikkeling massaclaims in collectieve acties (WAMCA). Vooral schadevergoeding wegens schending van de AVG als gevolg van cyberaanvallen is een hot topic. Het HvJ EU heeft onlangs over de haalbaarheid van een vordering tot schadevergoeding uitspraak gedaan. Het Hof oordeelde dat enkele schending van de AVG nog geen recht op schadevergoeding oplevert. De AVG biedt dus geen ruimte voor een succesvolle schadeclaim bij iedere schending.

Praktische impact

We zien een blijvende behoefte aan informatie over AVG, ondersteuning binnen organisaties en training voor medewerkers. Voor privacy preventie weten bedrijven ons ook goed te vinden. Bijvoorbeeld voor het opstellen van een privacy- / cookiestatement op hun website, het opstellen van een intern privacy beleid of het opstellen/ beoordelen van verwerkersovereenkomsten. Ook worden wij vaak betrokken bij (complexe) vraagstukken op het gebied van adviezen over internationale doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER). Last but not least worden wij bij datalekken ook regelmatig ingeschakeld. Zowel bij de afhandeling richting de Autoriteit Persoonsgegevens als ook voor de verdere opvolging richting stakeholders.

Op naar het volgende lustrum

De toekomst is en blijft natuurlijk moeilijk te voorspellen en ook wij hebben helaas geen glazen bol. Echter, verwachten wij wel dat de andere kant van de ‘privacy medaille’, met name het ontwerp ‘cybersecurity’, steeds meer aandacht, urgentie en kadering zal krijgen. Voor alle organisaties zou met name (cyber)security nu topprioriteit moeten zijn.
Wij zien dit verder terugkomen bij de uitwerking van de begrippen ‘passende technische en organisatorische maatregelen’ uit de AVG, de toegenomen zorgplicht voor leveranciers van ICT-diensten en de vertaalslag daarvan naar en de implementatie van verschillende NEN- en ISO normen binnen organisaties. Verder zal de Net Information Security (NIS) II Richtlijn met ingang van medio 2024 in gaan. NIS II gaat er voor zorgen dat een groot aantal bedrijven (waaronder ook een aantal MKB bedrijven) hun security eisen en niveaus enorm moeten gaan opschroeven.

NIS II? Help?

Nog even als korte achtergrond, NIS II is logischerwijs de opvolger van de NIS. Deze eerste Europese NIS Richtlijn uit 2016 gold met name voor de sectoren gezondheidszorg, vervoer, bankwezen, financiële markten- en digitale infrastructuur, energie- en watervoorziening en aanbieders van digitale diensten. De Europese NIS II Richtlijn breidt de scope van sectoren verder uit en gaat daarmee ook gelden voor aanbieders van telecomdiensten, beheerders van spoorweginfrastructuur, financiële diensten, post- en koeriersdiensten, fabrikanten van medische hulpmiddelen en overheidsdiensten. 

Verder zullen alle organisaties die onder de NIS2-richtlijn vallen, moeten voldoen aan hun zorgplicht in de vorm van een lijst van beveiligingsmaatregelen waaraan minimaal zal moet worden voldaan. Tenslotte zal er ook een meldplicht gaan gelden voor organisaties dat zij binnen 24 uur (nadat zij zich van een incident bewust zijn geworden) dit ook zullen moeten melden. En deze zal binnen 1 maand moeten worden vervolgd door een uitgebreide rapportage.

Met name de NIS-II Richtlijn zal zorgen voor een extra compliance druk, waar een aantal Mkb-bedrijven die ook onder deze richtlijn zullen gaan vallen, nauwelijks op voorbereid zijn. Maar dit is zeker nog niet alles, want naast de NIS-II Richtlijn zijn er in het kader van cybersecurity nog ruim 10(!) andere Verordeningen en Richtlijnen in de maak, dan wel al (deels) van toepassing die cybersecurity raken. De aangescherpte (cyber) security eisen zullen in ieder geval de aankomende 5 jaren naar alle waarschijnlijkheid een serieuze impact gaan hebben op AVG/GDPR compliance (vooral binnen het MKB). Wij zullen dit verder met aandacht blijven volgen en u op de hoogte houden door middel van Blogs en Events. Zo staat er op 15 juni een sparringsessie gepland waar o.a. ook deze onderwerpen aanbod komen. Aanmelden kunt u, geheel kosteloos, hier doen!

Zijn er op dit moment toch nog vragen over de AVG, cybersecurity, compliance of privacy ontstaan? Neem vrijblijvend contact op met één van onze privacy/ICT-specialisten. Vragen zijn er om opgelost te worden!  

Meer weten? Advies nodig? Neem contact op!

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

"*" geeft vereiste velden aan

Volledige naam*

Chat
1
Heeft u zakelijke vragen? Neem contact met ons op.