Nieuws & Blogs – Wees voorbereid op (meer) privacy handhaving

0
409

Op 25 maart 2021 publiceerde Nieuwsuur een artikel over het gebrek aan privacy handhaving door de Autoriteit Persoonsgegevens. Als reden wijst de Autoriteit Persoonsgegevens op een gebrek aan geld en capaciteit. Meer budget en mankracht moet zorgen voor een betere handhaving. Naast handhaving door de Autoriteit Persoonsgegevens kunnen schadevergoedingen en negatieve media-aandacht een handhavend effect hebben. In deze blog leg ik uit waar organisaties rekening mee dienen te houden.

Meer geld, meer mankracht, meer handhaving

De Autoriteit Persoonsgegevens heeft jaarlijks een budget van € 21 miljoen tot haar beschikking en bestaat uit ongeveer 180 fte’s. Zou dit dan de reden van de lange wachttijden en gebrek aan handhaving zijn? Ter illustratie. Van de bij de Autoriteit Persoonsgegevens gemelde datalekken (23.976), leidde in 2020 maar 0,15 tot een onderzoek. Inmiddels heeft de Tweede Kamer ingestemd met een budgetverhoging. De beslissing hierover is aan het volgende kabinet. Als de staatkas de Autoriteit Persoonsgegevens meer middelen verschaft zal dit hoogstwaarschijnlijk leiden tot meer handhaving. Maar is dit genoeg?

Concurrenten aanspreken op grond van de AVG

Een ander middel wat een handhavend effect zou kunnen hebben, is het aanspreken van concurrenten op schending van de AVG. Onlangs zijn twee leveranciers van GPS-horloges een kort geding gestart tegen een concurrent. Het verhaal van de leveranciers was dat de concurrent een oneerlijke concurrentievoorsprong zou hebben door overtreding van de AVG. Onder meer door onvoldoende te informeren over de privacy risico’s en persoonsgegevens te verwerken in China. Consumenten zouden niet kiezen voor de concurrent indien zij – in lijn met de AVG – goed en volledig zouden worden geïnformeerd. De rechtbank ging daar niet in mee en oordeelde dat de AVG niet is bedoeld om concurrenten aan te pakken. De AVG kent deze bevoegdheden toe aan de Autoriteit Persoonsgegevens en de betrokkenen. Wellicht dat het laatste woord hierover nog niets is gezegd. Vooralsnog ziet het er echter naar uit dat een aanpassing van de AVG nodig is om een concurrent aan te spreken voor overtreding van de AVG.

Schadevergoeding betrokkenen

De AVG geeft aan betrokkenen het recht op schadevergoeding. Toewijzing van schadevergoedingen kunnen een handhavend effect teweegbrengen. Vanuit de handhavende functie kunnen (meer) schadevergoedingen voor betrokkenen interessant zijn. De moeilijkheid van schadevergoeding voor inbreuken in verband met privacy zit ‘m vooral in het aantonen van schade. Anders dan een deuk in een auto is een inbreuk op privacy namelijk lastig te concretiseren.

De huidige stand van de rechtspraak is dat de rechter mondjesmaat overgaat tot het toekennen van een schadevergoeding aan betrokkenen: alleen als de betrokkene in zijn of haar persoon is aangetast. De enkele schending van de AVG, betekent nog niet dat er ook daadwerkelijk schade is geleden. De schade moet volgens rechtspraak reëel en zeker zijn. In de praktijk uit dit zich in minimale schadevergoedingen (€ 500) als gevoelige (bijzondere) persoonsgegevens zoals gezondheidsgegevens en het BSN in het spel zijn bij de schending van de AVG.

Hoewel schadevergoedingen voor betrokkenen op grond van de AVG nog redelijk in de kinderschoenen lijkt te staan, voorzie ik een toename van het aantal verzoeken en toewijzingen van schadevergoeding. Onder meer omdat de AVG zegt dat het begrip ’schade’ dient te worden uitgelegd op een wijze die ten volle recht doet aan de doelstelling van de verordening (overweging 146 AVG). Privacy vertegenwoordigt een bepaalde waarde. Als er een ‘hap’ wordt genomen van privacy, mag daar bij flagrante schendingen best een vergoeding tegenover staan. Dit zal bovendien een ‘handhavend effect’ hebben.

Niet te vergeten: imagoschade

Het effect van negatieve media-aandacht dient niet te worden onderschat. Zo is de GGD door het datalek wat onlangs is ontstaan niet bepaald in een goed daglicht komen te staan. Een dergelijk voorval is slechte PR en dat wil je het liefst voorkomen. Ook de media vervullen wat dat betreft een ‘handhavende functie’.

Zorg dat je privacy huishouding op orde is

Linksom of rechtsom, organisaties dienen zich voor te bereiden op (meer) privacy handhaving, in welke vorm dan ook. Of dat nu de zuivere handhaving van de Autoriteit Persoonsgegevens is, of de middelen waar een handhavend effect vanuit gaat zoals schadevergoedingen en negatieve media-aandacht. Zorg er daarom voor dat je de privacy huishouding op orde hebt. In een notendop. Zorg dat je inventariseert welke gegevensverwerkingen je doet. Voldoe aan de verplichte AVG-documentatie – zoals het publiceren van een privacy- en cookieverklaring en sluiten van verwerkersovereenkomsten. En last, but not least: maak geen papieren tijger van de AVG documenten en voer datgene wat je op papier zet daadwerkelijk in de praktijk uit.

Source link

Vorig artikelUnpatched SAP applications are target-rich ground for hackers
Volgend artikelIs ‘Femtech’ the Next Big Thing in Health Care?