De AVG: 1 jaar na dato

Sportverenigingen keken met vrees naar de invoering van de Algemene Verordening Gegevensbescherming (AVG) en de handhaving daarvan, immers zij hebben meestal een website, een database met gegevens van hun leden, publicaties van winnaars bij wedstrijden al dan niet met foto’s, ledenwerfacties, etc. Hoe staat er nu mee? 25 mei 2019 is het immers één jaar geleden dat de handhaving van de AVG zou worden aangescherpt en overtredingen zouden worden beboet met enorme boetes. De wet bescherming persoonsgegevens was vanaf dat moment niet meer van kracht en in de hele EU hebben we vanaf die datum dezelfde privacy-wetgeving.

De handhaving van de privacywet moet de EU-burgers beter beschermen, maar het voor bedrijven lastiger maken. Bijvoorbeeld het versturen van een factuur, nieuwsbrief, nabellen of direct marketing moest na 25 mei 2018 geheel anders gaan verlopen. Er werd gedreigd met hoge boetes tot 20 miljoen euro of 4% van de wereldwijde omzet bij misstanden.
Tot nu toe zijn er wel boetes uitgedeeld, bijna 100, maar in verhouding met de ruim 65.000 datalekken die er werden gemeld is dat niet heel veel. Ook worden dwangsommen opgelegd, maar dat zijn nog geen boetes. Een kleine greep uit de 100 boetes:

  • Een ziekenhuis bij Lissabon had de primeur op 17 juli 2018, maar liefst bijna 1.000 personen konden bij de patiëntgegevens, terwijl er “slechts” 296 artsen werkten: boete 400.000 euro
  • de volgende was een klein wedkantoor in Oostenrijk, de eigenaar had camera’s opgehangen die ook een deel van de openbare weg opnamen, maar niemand daarover had geïnformeerd: boete 4.800 euro;
  • een niet nader genoemd bedrijf had gegevens niet versleuteld d.m.v. technische maatregelen: boete 20.000 euro;
  • Taxiplatform Uber meldde hun grote datalek niet (de gegevens van bijna 175.000 Nederlanders waren gelekt): boete 600.000 euro;
  • Google maakte de privacy-voorwaarden niet toegankelijk en bezoekers konden hun eigen gegevens moeilijk inzien, daarnaast verzamelde Google gegevens zonder toestemming van bezoekers: 50 miljoen euro boete.

Is er door de boetes veel veranderd?
Niet echt, er was al toestemming nodig om mensen te mailen volgens de oude wet bescherming persoonsgegevens, en zelfs een database met persoonsgegevens van voor de AVG-tijd mag gewoon gebruikt worden.
Sta je niet in het “bel-me-niet-register”, ook dan mag je gerust gebeld worden. Rechtspersonen (zoals o.a. verenigingen), mogen sowieso gebeld worden zonder toestemming.

Voor consumenten komt er wel een nieuwe regel als de ePrivacy verordening van kracht wordt, deze zal de huidige telecommunicatiewet vervangen zodat o.a. Facebook, Gmail, Whatsapp en Voice over IP er ook onder gaan vallen. Nu omzeilen de aanbieders via internet de telecomproviders die zich aan de telecommunicatiewet moeten houden. Dat is straks dus afgelopen. De verordening is al op 10 januari 2017 door de Europese Commissie ingediend en zou tegelijk met de AVG op 25 mei 2018 in werking treden, maar door de marketing en advertising-industrie werd men tegengewerkt en werd de invoering van de verordening uitgesteld. Men hoopt nu rond mei 2020 alles klaar te hebben voor de invoering. Tegen die tijd zullen we er voldoende over kunnen lezen.

Uit de sportwereld komen nog niet veel berichten over de handhaving, maar dat betekent natuurlijk niet dat er niet gecontroleerd wordt.
Meer informatie over de AVG vindt u op de website van de Autoriteit Persoonsgegevens. Daar kunt u o,a. een handleiding downloaden voor het privacy-vriendelijk instellen van Google Analytics op uw website, vindt u een aantal voorbeeldbrieven, maar kunt u ook regels vinden voor bijvoorbeeld het ophangen van camera’s.