25 mei: 2 jaar AVG!

Vandaag is het alweer twee jaar geleden dat de Algemene verordening gegevensbescherming (AVG) van toepassing werd. Een mooie kans om terug te blikken op wat er gebeurd is de afgelopen twee jaar, waarin de toezichthouder en de rechter niet hebben stilgezeten. In deze blog vertellen we u over het werk (en de werklast van de Autoriteit Persoonsgegevens (AP), de manier waarop rechters hebben besloten over betaling van schadevergoeding aan personen voor privacy-schendingen en de toekomst van data-uitwisseling met de Verenigde Staten (mag dat straks nog wel?).

Meer privacy-bewustzijn

Zeker vanaf de intrede van, maar eigenlijk al sinds de aankondiging van de AVG is het privacy-bewustzijn in Nederland in ieder geval sterk gegroeid. Burgers worden duidelijk mondiger en zijn zich meer bewust van hun rechten. Dat blijkt in ieder geval al uit het nog immer stijgende aantal klachten dat de AP ontvangt. Hoewel de toezichthouder blij is dat burgers haar weten te vinden, wordt er zo veel beroep op haar gedaan dat zij de drukte niet aan kan.

Ondanks de drukte, heeft de AP wel van zich laten horen. Eind vorig jaar heeft bijvoorbeeld een omvangrijk onderzoek plaatsgevonden naar het gebruik van cookies op websites. Belangrijk om te weten is dat een onderzoek niet per definitie in een boete hoeft te eindigen. Uiteindelijk ligt het belang van de AP bij het juist naleven van de privacywetgeving, en kúnnen organisaties er met de schrik vanaf komen indien zij alle medewerking verlenen en de inbreuk-makende processen binnen gegeven korte tijd aanpassen en verbeteren. Uiteraard kost het nog altijd meer moeite en tijd om te genezen dan om te voorkomen.

Boetes in Nederland

Mocht een organisatie toch niet voldoen aan de eisen, dan komen de boetes wel de kop op steken. Dat is in Nederland onder de AVG tot nu toe drie keer gebeurd.

Een boete werd bijvoorbeeld uitgedeeld aan het Haga Ziekenhuis, die de interne beveiliging van patiëntendossiers niet goed op orde had. Er kon daardoor onder andere door een groot aantal ziekenhuismedewerkers in het dossier van de BN’er Barbie worden gekeken. In maart dit jaar werd een tweede AVG-boete opgelegd aan tennisbond KNLTB voor het verkopen van ledenlijsten aan sponsors. De laatste en hoogste boete tot nu toe werd uitgedeeld aan een onbekend bedrijf, die bij de rechter anonimiteit heeft bedongen. Deze mysterieuze organisatie heeft 725.000 euro moeten betalen omdat ze de vingerafdrukken van haar werknemers scande (bijzondere persoonsgegevens), zonder de noodzaak hiervan voldoende te kunnen beargumenteren.

De boetes die in 2018 werden uitgedeeld aan Uber en Theodoor Gilissen Bankiers werden nog onder de Wet bescherming persoonsgegevens (Wbp) gewezen. Het grootste verschil met deze oude wet is de hoogte van de boetes: de maximumboete onder de AVG ligt aanzienlijk hoger.

Schadevergoeding voor privacy-schending

De boetes zijn niet het enige handhavingsmechanisme onder de AVG. Onder bepaalde omstandigheden kunnen mensen ook zelf schadevergoeding claimen voor een schending van hun privacy door een bedrijf of de overheid.

In Nederland werd een toekenning van schadevergoeding vanwege schending van de AVG door de gemeente Deventer vernietigd in hoger beroep, omdat niet voldoende was aangetoond dat er nadelige gevolgen waren voor het slachtoffer vanwege de schending. Het UWV moest aan de andere kant wel €250 uitkeren wegens de schade die een werkneemster had opgelopen vanwege de privacyschending door het UWV, die bij haar angst- en stressklachten had veroorzaakt. De hoogste schadevergoeding die tot nu toe is toegewezen was voor een man wiens psychologische en psychiatrische gegevens zonder zijn toestemming aan een medisch tuchtcollege waren verstuurd: hij krijgt 500 als immateriële schadevergoeding.

Duidelijk mag zijn dat een schending van privacy niet direct een recht op schadevergoeding doet ontstaan. Wanneer rechters ook bij aangetoonde nadelige gevolgen van de privacyschending slechts zeer magere schadevergoedingen toewijzen, zullen burgers naar verwachting niet snel meer naar de rechter stappen voor schendingen van de AVG vanwege de grote geld- en tijdinvestering die met een gang naar de rechter gemoeid is.

Privacy Shield ter discussie

Dan uiteindelijk nog een zeer interessante zaak waar menig privacy jurist naar uitkijkt: Schrems II. Men hoopt dat het Hof van Justitie van de Europese Unie uitspraak zal doen over zowel de standaardcontractbepalingen van de Europese Commissie en het Privacy Shield. Beide zijn constructies die ervoor zorgen dat persoonsgegevens alsnog kunnen worden verzonden naar landen die geen “passend beschermingsniveau” bieden, dat wil zeggen niet dezelfde privacywaarborgen aanhouden zoals wij die onder de AVG nu kennen in Europa. Mochten beide constructies wegvallen, dan zou het bijvoorbeeld ook ‘illegaal’ worden om persoonsgegevens op te slaan in de Verenigde Staten. Vanwege het grote aantal Amerikaanse clouddiensten in gebruik in Nederland zou dat ook hier mogelijk grote gevolgen hebben. Op 16 juli staat de beoordeling van Schrems II op de agenda!


Deze blog is geschreven in samenwerking met Eline Hangelbroek.

Terug naar overzicht