Overslaan en naar de inhoud gaan
logo

RECHT IN ZICHT: Gegevensbescherming

Benjamin van Rijssen is samen met zijn zus Bettine directeur van Van Rijssen BV; een rederij met 4 schepen. Met name Bettine is erg scherp geweest op de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018.

Het bedrijf is druk bezig geweest met de AVG en heeft getracht alle zaken zo veel mogelijk op orde te krijgen. Nu een half jaar later, is het redelijk rustig. Ben en Bettine gaan eens langs bij hun advocaat mr Specialis om de stand van zaken te bespreken.

Na een half jaar AVG lijkt een van de belangrijkste doelstelling van de AVG, namelijk het creëren van meer bewustwording voor privacy en databescherming, te zijn gehaald. Er is omstreeks 25 mei 2018 zo veel geschreven, gezegd en gedaan over de AVG dat bij de meeste mensen wel een begin van bewustwording is gemaakt; en dat is winst.

Een van de schrikbeelden van de AVG waren de torenhoge boetes waarmee gedreigd werd. Is het bij een dreiging gebleven of is er in de praktijk iets van gemerkt?

Binnen Europa zijn er verschillende staaltjes van handhaving te zien; een kleine ondernemer die een boete kreeg van ‘maar’ 4.800 euro voor een camera die hij had opgehangen en mede de openbare weg filmde; een boete van 400.000 euro voor een publiek orgaan dat te veel personen toegang had gegeven tot medische gegevens terwijl - het systeem ook nog eens niet goed was beveiligd; een boete van 600.00 euro voor Uber voor het niet tijdig melden van een data-lek. De handhavingsautoriteiten laten wel hun tanden zien maar bijten tot nu toe slechts incidenteel.

In Nederland is de handhavingsautoriteit persoonsgegevens (AP) druk aan het controleren op de algemene uitoefening van de AVG. Met name het register van verwerking van persoonsgegevens is voor de AP een belangrijke indicatie hoe een bedrijf met de AVG omgaat. De AP richt zich bij de controles tot nu toe met name op de grotere bedrijven en publieke instellingen, zoals de belastingdienst, politie en ziekenhuizen en de kleinere bedrijven waar grote risico’s zitten (bijvoorbeeld kleine bedrijven die veel gevoelige persoonsgegevens verwerken).

Het is mogelijk om je als bedrijf te laten certificeren voor de AVG, maar pas hiermee op. Een certificaat betekent niet dat er niets meer gedaan hoeft te worden. Wel zal er bij bedrijven die een soort AVG-certificaat hebben, minder snel gecontroleerd worden. Mocht u certificering overwegen, let er dan op dat de certificeringscriteria voldoen aan de eisen van de European Data Protection Board.

Een belangrijk punt is de doorgifte van data aan landen buiten de Europese Economische Ruimte. Als de wetgeving in deze zogenaamde ‘derde’-landen niet voldoende dicht bij de inhoud van de AVG staat, kan dit voor problemen zorgen. Op dit moment wordt door de Europese Commissie gewerkt aan adequaatheidsbesluiten, waarbij wetgeving van andere landen op hun merites worden beoordeeld.

Als de wetgeving goed wordt bevonden, mag data ook aan dat betreffende land worden doorgegeven. Op 23 januari 2019 is een dergelijk ‘adequaatheidsbesluit’ genomen met betrekking tot Japan, zodat persoonsgegevens tussen de EU en Japan kunnen worden uitgewisseld.

 De dreigende Brexit geeft dicht bij huis de nodige zorgen, omdat bij een Brexit het Verenigd Koninkrijk ineens een ‘derde’-land wordt, waarnaar toe niet zomaar gegevens mogen verstuurd. De AVG zal kortom voorlopig nog wel op de agenda van het bedrijf blijven staan…

 

Ynke Ooijkaas is advocaat bij Boonk Van Leeuwen Advocaten te Rotterdam en gespecialiseerd in vervoers-, binnenvaart- en handelsrecht. Ze geeft juridische ondersteuning aan diverse binnenvaartorganisaties alsook aan de zogenaamde ‘bruine vloot’.

leaderboard