Nederlandse ondernemers denken dat het met de handhaving van de privacywet wel mee zal vallen. Ze zien nog weinig van de Autoriteit Persoonsgegevens (AP) in de media. In Duitsland zijn ondertussen al diverse boeteprocedures in gang gezet. Heb jij je AVG privacybeleid al op orde? Ook voor Duitsland?
17 toezichthouders in Duitsland
Nederland heeft slechts één toezichthouder. Duitsland telt er 17. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens. En er is ook nog een overkoepelende nationale toezichthouder. De pakkans bij een overtreding is daardoor veel groter dan in Nederland.
De Duitse krant Handelsblatt bracht in kaart wat de diverse Duitse toezichthouders sinds de start van de Europese privacywet hebben gedaan met alle klachten, vragen en datalekken die binnen zijn gekomen. Uitkomst: dit jaar nog worden er meerdere zware boetes uitgedeeld. Daarover verderop in deze blog meer.
Wake-upp call Nederlandse ondernemers
De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens. Maar het is meteen ook een wakeupp call voor Nederlandse ondernemers die zich op Duitsland richten met een Duitse site, een Duitstalig gedeelte op hun Nederlandse site of via social media en nieuwsbrieven. Het is bijzonder onverstandig om geen privacybeleid te ontwikkelen. Duitsers kennen het woord gedogen niet.
Overigens hoeft ook in Nederland geen gedoogbeleid te hoeven worden verwacht. Ook Nederland moet de Europese privacywet handhaven.
Boetes zijn schrikbarend hoog
Het is meer dan ooit van belang om te voldoen aan de Europese privacywet. Iedereen die grensoverschrijdend onderneemt in Europa kan in ieder Europees land gecontroleerd worden. De pakkans is groter dan ooit. En de boetes die kunnen worden opgelegd zijn schrikbarend hoog.
Het is van belang om deskundige ondersteuning in te schakelen voor het ontwikkelen van internationaal privacybeleid. AhaErlebizz kan daarbij helpen. Wij werken samen met Nederlandse en Duitse juristen en met het privacymanagement bedrijd PrivacyZone.
AVG overtredingen worden in Duitsland en elders in Europa op een vergelijkbare manier aangepakt als internationale verkeersboetes worden geind. De Europese toezichthouders werken samen. Als er in Duitsland een AVG overtreding wordt geconstateerd wordt de afhandeling overgedragen aan de nationale toezichthouder in het vestigingsland van de ondernemer.
Zoals de Nederlandse justitie Duitse verkeersboetes incasseert bij Nederlanders die in Duitsland te hard hebben gereden.
Autoriteit Persoonsgegevens Baden-Württemberg
Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.
Autoriteit Persoonsgegevens Hamburg
Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.
Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”
Autoriteit Persoonsgegevens Noordrijn-Westfalen
Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.
Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.
Autoriteit Persoonsgegevens Berlijn
In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.
Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens
“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.
Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.
Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.
Twaalf keer zoveel datalekken
Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.
Veel apps voldoen niet aan de nieuwe privacyregels
Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”
De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.
Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens
Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.
Personeelstekort bij Autoriteit Persoonsgegevens
De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.