Aleid Wolfsen: ‘AP controleert na AVG-invoering eerst op FG’

De Autoriteit Persoonsgegevens gaat streng controleren op de rol van Functionaris Gegevensbescherming. Dat zegt voorzitter Aleid Wolfsen in een gesprek met SoftwareZaken. Ook zegt de toezichthouder dat er vanaf 25 mei écht boetes kunnen komen voor bedrijven die zich niet aan de AVG houden.

Het duurt nog maar een kleine 2 maanden voor de Algemene Verordening Gegevensbescherming in werking treedt, en Nederlandse bedrijven lijken een eindsprint te maken om vóór de deadline ‘compliant‘ te zijn.

Functionaris Gegevensbescherming

Eén van de belangrijkste onderdelen van de AVG is de Functionaris Gegevensbescherming, of een ‘Data Protection Officer’, die verplicht moet worden aangesteld bij overheden of bedrijven die bijzondere persoonsgegevens verwerken. Die groep is essentieel, volgens Wolfsen. “De FG’s zijn ons contact met overheden en het bedrijfsleven. Zij houden ons op de hoogte van wat er eventueel fout gaat in een organisatie, dus het is van essentieel belang dat zij eraan voldoen om zo iemand in huis te hebben.”

‘Aftikken’

De aanwezigheid van een FG is dan ook één van de eerste zaken waar de AP op gaat controleren zodra de AVG van kracht wordt. “Dan wordt het heel simpel; we gaan gewoon aftikken of bedrijven een FG in dienst hebben als dat nodig is. Zo niet, dan nemen we maatregelen.” Welke maatregelen dat zijn durft Wolfsen niet te zeggen. Een boete is een optie, maar er kan ook net zo goed eerst een waarschuwing worden gegeven.

Eindsprint

Bedrijven hebben minder dan 2 maanden om een eindsprint te maken voor de AVG in werking treedt. Toch is de rol van de Autoriteit Persoonsgegevens daarin beperkt, zegt Wolfsen. “We zijn een toezichthouder, geen consultancybureau. We kunnen bedrijven wel op weg helpen, maar uiteindelijk is het aan henzelf om te kijken of ze voldoen aan de wetseisen.”

Eén hulpmiddel daarvoor is de tool www.hulpbijprivacy.nl, een website die de AP heeft opgesteld zodat bedrijven kunnen zien welke stappen zij nog moeten doorlopen om AVG-compliant te zijn. “Als bedrijven die tool eerlijk invullen zijn ze in principe goed voorbereid op de wet”, zegt Wolfsen. “Als je van sommige vragen denkt ‘dit zit op het randje’, dan kan het ná 25 mei alsnog wel eens fout zijn.”

Wolfsen wijst er op dat bedrijven al zeker 4 jaar weten dat de wet eraan zit te komen. “Bovendien was die 2 jaar daarvóór al in voorbereiding, dus niemand kan zeggen dat hij het niet wist. Maar ja, mensen stellen hun werk nu eenmaal graag uit…”

Brancheorganisaties

Een andere maatregel om je als bedrijf voor te bereiden is volgens Wolfsen om contact op te nemen met een brancheorganisatie. “Die zijn vaak de schakel tussen ons en het bedrijfsleven. We verwijzen bedrijven daar meestal ook naar door als ze ons om advies vragen.”

Boetes

Het lijkt haast onmogelijk de term ‘AVG’ te gebruiken zonder daar ‘boetes’ bij te noemen. De boetes zijn een belangrijk onderdeel van de naleving van de wet, en kunnen hoog oplopen. Maximaal 4% van de omzet, of 20 miljoen euro, dat zijn niet te misstane bedragen waardoor bedrijven gemotiveerd moeten raken hun zaken op orde te stellen.

De Autoriteit Persoonsgegevens is snel van plan met boetes te komen, zegt Wolfsen. “Vanaf 25 mei gaat de wet in, dat is op een vrijdag. Ik verwacht dat we die maandag al de eerste klachten kunnen behandelen.” Vanaf dat moment is het volgens Wolfsen heel duidelijk: “Fout is fout. Wie zijn zaakjes niet op orde heeft kan dan een onderzoek verwachten.”

‘Logisch optreden’

Wie de eerste wordt die een boete krijgt durft Wolfsen niet te voorspellen, maar hij heeft wel een idee. “Het moet een zaak worden waarvan iedereen zegt: ‘Ja, logisch dat ze daar tegen optreden’.” Het zou logisch zijn als de AP voor zijn eerste boetes een zaak oppakt waar veel burgers verbolgen over zijn, zoals een datalek bij Facebook, de privacyinstellingen van Windows 10, of camera’s in sauna’s.

Boeterisico

Veel bedrijven vragen zich af hoe groot het risico op boetes nou daadwerkelijk is. De AP heeft namelijk al lange tijd een boetebevoegdheid, al sinds het Meldplicht Datalekken van kracht is. Tot nu toe heeft de waakhond echter nog geen enkele keer gebruik gemaakt van die bevoegdheid, en zijn bedrijven waar data weglekte onbestraft gebleven. Waarom zou je onder de AVG dan ineens wél bang moeten zijn voor boetes?

Hogere boetes, lagere drempel

Volgens Wolfsen komt dat door 2 dingen. “De boetes worden hoger, en de drempel om ze uit te delen wordt lager.” Op dit moment mag de AP alleen nog een boete geven als met opzet gelekt worden, maar dat is tot nu toe nog niet gebeurd, zegt Wolfsen. Als de AVG straks in werking gaat kunnen bedrijven al een boete krijgen als ze nalatig zijn in het beschermen van data. “Dan is de drempel dus veel lager en delen we die boetes makkelijker uit.”

Proportioneel

De boetes zijn echter een middel, geen einddoel, zegt de toezichthouder. “Bedrijven moeten compliant zijn vanuit hun eigen, intrinsieke motivatie. Je moet niet gewoon alle vinkjes aftikken, maar echt bewust zijn van wat je met persoonsgegevens doet. Zorg dat je medewerkers bewust zijn van het belang van privacy, heb je technieken en processen op orde, zorg dat je authenticatiesystemen goed zijn en pas privacy by design toe als je iets ontwikkelt.”

Meer informatie: Lees ook ons uitgebreide artikel over ‘De waarde van een Functionaris Gegevensbescherming’.Lees hier ook precies wat u moet doen als u een datalek heeft in uw organisatie. We geven nog één basiscursus AVG op 20 april. Schrijf u hier in om te zorgen dat u straks AVG-compliant bent!