Is angst voor hoge boete bij niet naleven van AVG terecht?
De Algemene verordening gegevensbescherming (AVG) is nu echt van toepassing. Organisaties moeten aan diverse plichten voldoen, maar de vraag is wat er gebeurt als zij de regels niet helemaal correct naleven.
Nadat de AVG in mei 2016 in werking was getreden, kregen organisaties twee jaar de tijd om aan de nieuwe Europese privacyregels te voldoen. De laatste tijd zijn veel organisaties daar druk mee aan de slag gegaan (tool). Vanaf nu is de AVG van toepassing en kunnen partijen die de AVG niet correct naleven gestraft worden door de Autoriteit Persoonsgegevens (AP), die verantwoordelijk is voor de handhaving van de privacywetgeving. Maar in de praktijk lijken veel (goedbedoelende) organisaties zich niet direct zorgen te hoeven maken om sancties.
Autoriteit Persoonsgegevens heeft te weinig mankracht
Het Financieele Dagblad meldt dat er veel onrust heerst binnen de AP en de instantie op dit moment niet in staat is om op de gewenste manier toezicht te houden op de AVG. De AP zou overbelast zijn en niet over genoeg gekwalificeerde werknemers beschikken. Dit ontkent de AP niet. Voor de handhaving van de AVG heeft de autoriteit meer personeel nodig, maar de arbeidsmarkt voor privacy-experts is krap. Daar hebben ook organisaties mee te maken die een functionaris voor de gegevensbescherming (FG) moeten benoemen. Die verplichte aanstelling van een FG is het eerste dat de Autoriteit Persoonsgegevens gaat controleren, zo heeft de voorzitter van de AP laten weten. Verder stelt de AP zich in de komende periode te willen focussen op de verantwoordingsplicht van organisaties, beveiliging van medische gegevens, handel in persoonsgegevens en datalekken.
Angst voor hoge boetes van AP is (nog) niet nodig
Minister Dekker van Rechtsbescherming heeft aangegeven niet nog meer extra geld te willen uittrekken voor het toezicht. Hij denkt ook dat de AP niet direct boetes zal uitdelen aan kleinere organisaties die met de AVG bezig zijn, maar hun zaakjes nog niet helemaal op orde hebben. Dat zei de bewindsman eerder ook al in de Tweede Kamer. Grotere organisaties die persoonsgegevens onvoldoende beschermen, kunnen volgens de minister wel echt problemen verwachten. De hoogst mogelijke boetes zijn onder de AVG niet mis (€ 20 miljoen of 4% van de wereldwijde jaaromzet). Van zulke hoge boetes (tool) zal het echter niet snel komen. De AP bekijkt per overtreding welke sanctie passend is. Een waarschuwing zou ook kunnen volstaan.