Terugblik op het privacyjaar 2018 en een vooruitblik op 2019

Kijkend naar de privacywetgeving was 2018 een heel druk jaar. De nieuwe AVG heeft veel bedrijven goed beziggehouden. In 2019 zal dat niet veel anders worden, de ontwikkelingen omtrent de AVG zijn nu in volle gang. Ondertussen blijft de digitale dienstenmaatschappij zich in rap tempo doorontwikkelen en dus ook de daarbij behorende uitwisseling van big (personal) data. De wetgevingsmachine van de EU draait daarom overuren om dit bij te benen. In deze blog kijken we daarom even terug op het afgelopen AVG jaar en welke andere gerelateerde (digitale dienstenmaatschappij) wetgeving er in werking is getreden. We blikken ook vooruit naar 2019. Welke veranderingen kunnen we dit jaar verwachten op dit vlak.

Terugblik 2018:

Algemene verordening gegevensbescherming (AVG)

Op 25 mei 2018 is de veel besproken AVG in werking getreden. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). Een groot verschil tussen de AVG en de Wbp is dat de AVG een verordening is en daarom gelijkelijk geldt voor iedere lidstaat in de gehele Europese Unie, niet alleen voor Nederland. Dit zorgt voor meer harmonisatie van privacyregels binnen de EU.

Daarnaast heeft de AVG als doel het uitbreiden en versterken van de privacy rechten van de burgers, legt ze meer verantwoordelijkheid neer bij de bedrijven en breidt het de bevoegdheden uit van de Europese privacy toezichthouders. Zo hebben de toezichthouders nu de mogelijkheid om hogere boetes op te leggen bij overtreding van de AVG. Welke kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Ondertussen heeft de Autoriteit Persoonsgegevens (AP), de Nederlandse privacy waakhond, zich eerst gefocust op de grotere organisaties. Ze heeft inmiddels een last onder dwangsom opgelegd aan het UWV omdat de beveiliging van persoonsgegevens niet goed op orde is. De last onder dwangsom op 1 november 2019 bedraagt € 150.000,- per maand en kan maximaal oplopen tot € 900.000.

Uber heeft in november 2018 van de AP een boete opgelegd gekregen van € 600.000,- voor het te laat melden van een datalek. Het lek vond al in 2016 plaats, maar in plaats van het lek binnen de verplichte 72 uur te melden aan de AP verzweeg Uber het lek. Het is voor het eerst dat de AP een boete oplegt voor het niet melden van een datalek.

Intussen loopt tegen tennisbond KNLTB momenteel nog een onderzoek. Verschillende leden van de bond hebben bij de AP een klacht ingediend over het delen van persoonsgegevens, zonder dat daar toestemming voor was gegeven. De leden werden ongevraagd opgebeld, kregen mailtjes of reclame per post. Het commercieel verhandelen van persoonsgegevens kan de tennisbond een geldboete opleveren. De AP zal ook steeds meer speldenprikacties gaan ondernemen richting het bedrijfsleven.

Speldenprik-acties zijn willekeurige controles van de AP waarbij er wordt gekeken of bedrijven en organisaties voldoen aan de AVG. Bijvoorbeeld, houdt u een verwerkersregister bij en voldoet deze aan de eisen van de AVG? Zij richt hierbij ook haar pijlen op de private sector, dus niet alleen op de Belastingdienst, UWV of de Politie.

De AVG is het meest onder de aandacht geweest, maar is niet de enige wet die in werking is getreden in 2018 welke ziet op privacy.

Wet bescherming bedrijfsgeheimen (Wbb)

Op 23 oktober 2018 is de Wbb in werking getreden. Daar waar de AVG ziet op de bescherming van persoonsgegevens, ziet de Wbb op de bescherming van zakelijke gegevens, met name dan bedrijfsgeheimen. Deze wet geeft aan wanneer er sprake is van een bedrijfsgeheim, tegen welke inbreuken de organisatie beschermd wordt en welke juridische maatregelen er genomen kunnen worden wanneer er sprake is van een inbreuk. Een mooie aanvullende beschermingswet voor het zakenleven.

Verordening Geoblocking

Op 3 december 2018 is de Europese verordening Geoblocking in werking getreden. Geoblocking is vanaf die datum verboden. Geoblocking technieken zorgen ervoor dat consumenten niet bij webshops uit een ander land hun aankopen kunnen doen. Bijvoorbeeld Nederlandse consumenten worden herleid naar de Nederlandse webshop van een Spaans merk in plaats van naar de Spaanse webshop. Dit betekent dat er geen vrij verkeer van goederen mogelijk is en dat is in strijd met de EU-grondregels. Hier heeft de EU dus sinds 3 december j.l. een einde aan gemaakt. Consumenten kunnen rechtstreeks beroep doen op deze verordening.

Vooruitblik 2019:

PSD2 inzake betaaldiensten.

Op 1 januari 2019 is de nieuwe Europese richtlijn PSD2 in werking getreden, welke zorgt voor regulering van betaaldiensten. Geheel nieuw is deze richtlijn niet. In 2007 is de eerste PSD (PSD1) aangenomen door het Europese Parlement. PSD2 moet voor meer innovatie en concurrentie zorgen. Een belangrijke wijziging in de PSD2 is dat derde partijen toegang kunnen krijgen tot betaalrekeningen van klanten, mits de klant hier zelf uitdrukkelijk toestemming voor heeft gegeven. Een praktijkvoorbeeld van een betaaldienst is het aanbieden van een digitaal huishoudboekje. De aanbieder heeft dan toegang nodig tot je betaalgegevens om een totaaloverzicht te kunnen geven van je inkomsten en uitgaven. Op dit moment bieden voornamelijk banken dit soort diensten al aan. Hierbij gaat het dan om de rekeningen die zij in beheer hebben. Echter Google heeft net een Europese vergunning verworven om ook deze diensten te kunnen gaan aanbieden en zal dat uiteraard ook gaan doen. Immers zij hebben weer veel data omtrent surfgedrag en de sociale media profielen. Facebook heeft inmiddels een vergunningsaanvraag lopen. De PSD2 richtlijn maakt deze betaaldiensten dus ook mogelijk voor de rekeningen van andere banken zodat dit niet bancaire instellingen zoals Google en Facebook in de kaart speelt.

Een van de eisen is dat de klant wél duidelijk moet kunnen zien welke partijen toegang hebben tot welke gegevens en waar zij de toestemming voor de toegang weer kunnen intrekken. Ook moet de toegang tot de bankrekening door derde partijen gratis zijn.

Medio 2019: E-privacy verordening

De E-privacy verordening zou oorspronkelijk tegelijk met de AVG inwerkingtreden. Door onenigheid over de concepttekst is dit niet gelukt. Wij verwachten dat de E-privacy verordening medio 2019 van kracht zal gaan. De E-privacy verordening is een aftakking (zogenaamde lex specialis) op de AVG. Waar de AVG ziet op elke verwerking van persoonsgegevens ziet de E-privacy verordening alleen op verwerkingen van persoonsgegevens bij elektronische communicatiediensten. Hieronder vallen alle online communicatiediensten zoals Mailchimp, WhatsApp, Facebook, Google, etc. Een belangrijk aspect van de E-privacy verordening is dat deze ook ziet op de cookieregels en spamverbod. De AVG stelt voor deze onderwerpen algemene richtlijnen, de verordening gaat er specifieker op in. Met de inwerkingtreding van de E-privacy verordening vervalt de huidige Telecommunicatiewet.

Wet aanpak cyber crime 2019

In 2019 wil de Nederlandse overheid de digitale weerbaarheid van Nederland gaan aanpakken. Cybercrime blijft zich in snel tempo ontwikkelen en de dreigingen zijn nog altijd groot. De overheid wil in zijn aanpak gaan samenwerken met bedrijven, burgers en maatschappelijke organisaties. De aanpak richt zich o.a. op de onderwerpen digitale diefstal, afpersing, fraude, platleggen diefstal en bedrijfsspionage. Het is de bedoeling dat cybercrime wordt voorkomen, dat er betere opsporing en onderzoek mogelijk is, dat er slachtofferhulp geboden wordt en dat het makkelijker wordt om aangifte te doen van cybercrime.

De ingangsdatum van deze wet is nog niet bekend. Wanneer er meer over bekend is laten wij dat zeker weten!

Aanpak AP in 2019 van handhaving AVG:

De acties richting het MKB

De Autoriteit Persoonsgegevens, onder leiding van directeur Aleid Wolfsen, waarschuwde in september 2018 op het VPR-jaarcongres, dat The Legal Privacy Company bijwoonde, het MKB voor der eerder genoemde speldenprik controles. Wolfsen zegt dat het MKB vaak worstelt met verplichtingen waar nog invulling aan moet worden gegeven. Dat het MKB hiermee worstelt is ook te lezen in de rapportage van het Centraal Planbureau “Vooral MKB en thuisgebruikers lopen vermijdbare risico’s”. Eén van de redenen is dat de nadere inkleuring en interpretatie van deze verplichtingen vaak door uitspraken van rechters gebeurd. Deze uitspraken worden uiteraard niet gelezen door het MKB.

Sancties

Aleid Wolfsen sprak verder over het AVG controle- en sanctiebeleid en gaf nader uitleg over de speldenprik-acties. Met enige regelmaat worden er namelijk door de Autoriteit Persoonsgegevens sancties uitgedeeld die voortkomen uit deze acties. Wanneer een organisatie of bedrijf niet voldoet aan de AVG heeft de AP vier mogelijkheden om op te treden, namelijk:

  • Waarschuwen
  • Hulp bieden
  • Last onder dwangsom
  • Boete

Concluderend

Het afgelopen jaar was al een bewogen jaar qua invoering van nieuwe Europese wetten met binnenlandse effecten voor het bedrijfsleven zoals de AVG, Wet bescherming bedrijfsgeheimen, Verordening Geoblocking en de richtlijn PSD2. Ook in 2019 zullen er nog veel ontwikkelingen zijn. Zo treedt de E -privacy verordening inwerking, ligt het Wetsvoorstel bestrijding cybercrime klaar en kunt u speldenprik acties verwachten van de AP. Daarover later meer in een nieuwe blog.

The Legal Privacy Company houdt u graag op de hoogte van de ontwikkelingen en kan u adviseren over welke gevolgen deze wetgeving heeft voor uw organisatie. Dit doen wij o.a. door middel van adviezen maar ook door het plaatsen van informatieve blogs en het geven van masterclasses.

Op 14 februari 2019 geven wij bijv. de Masterclass AVG Management Z tot A. In deze Masterclass leren wij u aan de hand van praktijkgevallen hoe uw organisatie zo pragmatisch mogelijk de AVG kan naleven. In deze Masterclass nemen wij de nieuwste ontwikkelingen mee op het gebied van het privacyrecht. Schrijf u snel in, want de belangstelling is weer groot! Meer informatie vindt u op onze website. Natuurlijk kunt u ook mailen naar info@thelegalprivacycompany.com of bellen naar 020-3450152.