Eén van de belangrijkste ontwikkelingen die het jaar 2018 op juridisch vlak met zich meebracht, was de introductie van de Algemene Verordening Gegevensbescherming. Veel retailers werkten zich in het zweet om hun bedrijfsvoering bijtijds af te stemmen op de nieuwe richtlijnen. Twinkle deed rondvraag, een halfjaar na die beruchte 25 mei: hoe verliep de implementatie, zijn systemen aan voor- en achterzijde inmiddels compliant en wat zijn de eerste ervaringen?
‘Door de AVG zijn de privacy-rechten van klanten versterkt en uitgebreid. Bovendien hebben bedrijven op dat gebied meer verantwoordelijkheden gekregen’, vat Marianne Kemps, pr-manager bij Domino’s, samen. ‘Een positieve ontwikkeling, want de bewustwording van privacy groeit erdoor. 90 procent van onze bestellingen vindt online plaats. Het is daarom heel belangrijk om zorgvuldig met klantdata om te gaan en als bedrijf daarin je verantwoordelijkheid te nemen.’
Bij het opmaken van de balans na de eerste zes maanden AVG telde de Autoriteit Persoonsgegevens (AP), toezichthouder op naleving van de AVG in Nederland, maar liefst zevenduizend klachten over gemeende schendingen van de nieuwe privacyregels. Die gaan volgens jurist Charlotte Meindersma voor het grootste gedeelte over het inzagerecht: klanten willen graag weten over welke gegevens bedrijven precies van hen beschikken. Ook op het recht op vergetelheid wordt vaak aanspraak gemaakt, zegt Marco Snoek, software engineer, partner en data protection officer (DPO) bij CameraNU.nl. ‘De eerste maand kregen wij tegen de honderd van zulke verzoeken. Dat aantal is in de loop der tijd overigens snel gedaald tot zo’n vier à vijf per maand.’
‘Er gaat nog een hoop mis, vooral bij zaken die niet zichtbaar zijn voor de buitenwereld’
Problemen
Na de aanloopfase tot aan 25 mei lijkt de AVG-storm redelijk geluwd. Meindersma: ‘Onder bedrijven is de aanvankelijke paniek inmiddels voorbij, de deadline is immers verstreken. Maar dat betekent zeker niet dat iedereen klaar is met de implementatie van de nieuwe regels. Er gaat nog steeds een hoop mis. Het gaat vooral om zaken die niet zichtbaar zijn voor de buitenwereld, zoals het Register Verwerkingsactiviteiten: daarin maak je een overzicht van welk soort persoonsgegevens je verzamelt en de bewaartermijnen daarvan. Het opstellen daarvan staat vaak lager op de prioriteitenlijst. Ook met de verwerkersovereenkomsten zijn nog veel problemen.’
Bewustwording
Het is dan ook geen gemakkelijke taak om aan elk aspect van de nieuwe regels te voldoen, zegt Snoek. ‘Als je elke letter van de wet wilt volgen, ben je wel even bezig. Wij hebben in eerste instantie intern de focus gelegd op bewustwording, ik heb het personeel een cursus gegeven aan de hand van de meest extreme voorbeelden die ik kon bedenken. Want zelfs een weggewaaide pakbon valt al onder de AVG! En mag je bij een nieuwsbriefaanmelding vragen wanneer iemand geboren is? Vanmorgen kwam iemand bij me langs met een stapeltje formulieren van een vogelspotmiddag die CameraNU.nl georganiseerd had, met persoonsgegevens erop. De collega wist in elk geval dat hij hier voorzichtig mee moest omgaan. We vragen geen overbodige dingen van klanten, alleen wat we nodig hebben om een pakketje af te kunnen leveren. Maar alles moet glashelder zijn. We hebben tot in het extreme verduidelijkt welke informatie we waarvoor nodig hebben.’
Aanhoudend proces
Dat de introductie van de AVG inmiddels een halfjaar geleden is, betekent niet dat de daaraan gerelateerde werkzaamheden afnemen. ‘Het is een continu proces, waarin bijvoorbeeld privacy-verklaringen steeds vernieuwd moeten worden indien er veranderingen in de verwerkingen van persoonsgegevens of cookies plaatsvinden’, zegt Kemps.
In de praktijk komt de AVG bij veel gebeurtenissen om de hoek kijken, vertelt ook Kirsten Wortelboer, jurist bij Intertoys. ‘Wij hebben bijvoorbeeld net een nieuwe website gelanceerd. Alle privacy-kwesties waren geregeld voor de oude site, maar ons e-commerce team moest voor de nieuwe website helemaal opnieuw beginnen met het implementeren van de wet. Je kunt niet zomaar alles klakkeloos overnemen, het contactformulier voor rechten van betrokkenen bijvoorbeeld moesten we weer van voor af aan inbouwen. Het is een ongoing proces, er blijven voortdurend nieuwe vragen en taken bovenkomen. Op het moment dat je bijvoorbeeld een samenwerking start met een externe partij, moet een eventuele daarmee samenhangende persoonsgegevensverwerking ook in dat register opgenomen worden.’
‘Er blijven voortdurend nieuwe vragen en taken bovenkomen’
Handhaving
Eind november deelde de Autoriteit Persoonsgegevens de eerste boete uit sinds de invoering van de privacywet: die viel op de mat bij Uber en kwam uit op 600.000 euro. ‘Officieel valt die boete nog onder de oude regelgeving’, zegt Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden. ‘Je ziet dat die al veel effect heeft. De eerstvolgende boete die aan de AVG gerelateerd is, zal ook impact hebben. Zo’n maatregel haalt de voorpagina van kranten, dat leidt tot meer aandacht voor privacy, voor de wijze waarop je toestemming vraagt bijvoorbeeld, of voor beveiligingseisen of verstrekking van gegevens. Zes ton voor Uber is nog niet zoveel – afhankelijk van de ernst van de zaak kan het boetebedrag oplopen tot 20 miljoen euro, of 4 procent van je omzet. Dat zal niet direct het geval zijn voor de mkb-sector, dan gaat het echt over grote tech-spelers.’
Zover zal het voorlopig niet komen in ons land: de AP, die zijn organisatie de afgelopen tijd bijna verviervoudigd heeft, is nog druk bezig met het inregelen van zijn nieuwe rol als actief controleur, zegt Meindersma. ‘De pakkans is nog relatief klein.’ Ondertussen trachten retailers de nodige puntjes op de i te zetten. Wortelboer: ‘Met de komst van de AVG zijn er veel zaken veranderd. Maar privacy is nu eenmaal belangrijk. De toekomst ligt bij big data, alles wordt steeds meer datagedreven. Dat moet je van meet af aan goed borgen.’
Er is op dit moment 0 keer gereageerd op:
AVG, hoe staat het ermee?
Je kunt niet meer reageren op dit artikel.