Het jaar 2018 nadert het einde en er zal veel worden teruggekeken. Een van de punten waar wij ons allemaal (in meer of mindere mate) mee bezig hebben gehouden is het thema privacy; uiteraard vanuit de AVG die vanaf mei dit jaar van kracht is. Nu we ruim een halfjaar verder zijn, is het een mooi moment om eens terug en vooruit te kijken rondom dit onderwerp.

Begin dit jaar begon de grote exercitie rondom AVG: het kan (bijna) niemand ontgaan zijn. Vrijwel dagelijks kwamen er mails binnen van partijen die bezig waren met het opstellen of herzien van privacyvoorwaarden en toestemming wilden vragen of zij nog nieuwsbrieven mochten blijven sturen. Sommigen waren hier erg fanatiek in en stuurden bij wijze van spreken iedere dag een mail met daarin de boodschap dat het weer een dag dichter bij 25 mei was.

Vanuit Full•Finance hebben wij het nodige geschreven voor, gedoceerd aan, en besproken met onze relaties. Alles vanuit de regelgeving zoals die op dat moment bekend was. En gezamenlijk constateerden wij dat dit best heel ‘groots’ en niet altijd zo duidelijk was en is: verwerkersovereenkomsten, privacyvoorwaarden, registers datalekken, privacyspecialisten intern benoemen en het personeel voorlichten over de regels. En niet te vergeten: het creëren van bewustwording. En heel vaak werden deze momenten ook gemarkeerd als startpunt voor veranderingen van processen en nog belangrijker het gedrag van de medewerkers. En die veranderingen zullen ook nu nog aandacht nodig blijven hebben.

Zijn we er nu dan klaar mee? De enorme aandacht is (gelukkig maar) wat afgenomen, maar dat maakt het onderwerp niet minder belangrijk. Nog steeds gaat er op privacygebied nog het nodige niet goed, zijn mensen het zich onvoldoende bewust en kan er dus nog vooruitgang geboekt worden.

Als we kijken wat de toezichthouder (de Autoriteit Persoonsgegevens – AP) de afgelopen maanden gedaan heeft, zijn twee soorten acties te onderkennen: uitleg van regels en starten met handhaving. Op het gebied van handhaving heeft de AP acties opgestart om (met name bij grotere organisaties) te toetsen of deze voldoen aan de vereisten (bijvoorbeeld of de Functionaris Gegevensbescherming is benoemd en aangemeld). Maar ook UWV en de Belastingdienst zijn bijvoorbeeld gedwongen om gegevens beter te beveiligen (UWV) of hebben een verwerkingsverbod gekregen voor bepaalde verwerkingen (Belastingdienst). En eind november kwam naar buiten dat Uber een boete (de eerste datalekboete?) opgelegd heeft gekregen voor het te laat melden van een datalek. Mocht u het gemist hebben: de boete bedraagt € 600.000. Daarnaast zien we dat de AP ook de regels aan het uitleggen/toelichten is. Er is uitleg gegeven over het begrip als ‘grootschalige verwerking’ en er is duidelijkheid gecreëerd over direct marketing. En de AP heeft aanbevelingen gedaan over de registers van verwerkingen. En die laatste zijn als het goed is door alle accountantsorganisaties gemaakt voor de verwerkingen die op de kantoren plaatsvinden.

Wellicht een goed voornemen om straks aan het begin van nieuwe jaar een evaluatiemoment te plannen hoe uw organisatie ervoor staat op privacygebied. Kloppen de ingenomen standpunten nog bij de huidige inzichten? En in hoeverre is de privacybewustheid nog aanwezig in uw organisatie? Hebt u behoefte aan een klankbord daarbij? Neem gerust contact op met Martijn Kriek of Jack van Crooij voor vragen of ondersteuning.