Nederlandse ondernemers denken dat het met de handhaving van de privacywet wel mee zal vallen. Ze zien nog weinig van de Autoriteit Persoonsgegevens (AP) in de media. In Duitsland zijn ondertussen al diverse boeteprocedures in gang gezet. Heb jij je AVG privacybeleid al op orde? Ook voor Duitsland?
17 toezichthouders in Duitsland
Nederland heeft slechts één toezichthouder. Duitsland telt er 17. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens. En er is ook nog een overkoepelende nationale toezichthouder. De pakkans bij een overtreding is daardoor veel groter dan in Nederland.
De Duitse krant Handelsblatt bracht in kaart wat de diverse Duitse toezichthouders sinds de start van de Europese privacywet hebben gedaan met alle klachten, vragen en datalekken die binnen zijn gekomen. Uitkomst: dit jaar nog worden er meerdere zware boetes uitgedeeld. Daarover verderop in deze blog meer.
Wake-upp call Nederlandse ondernemers
De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens. Maar het is meteen ook een wakeupp call voor Nederlandse ondernemers die zich op Duitsland richten met een Duitse site, een Duitstalig gedeelte op hun Nederlandse site of via social media en nieuwsbrieven. Het is bijzonder onverstandig om geen privacybeleid te ontwikkelen. Duitsers kennen het woord gedogen niet.
Overigens hoeft ook in Nederland geen gedoogbeleid te hoeven worden verwacht. Ook Nederland moet de Europese privacywet handhaven.
Boetes zijn schrikbarend hoog
Het is meer dan ooit van belang om te voldoen aan de Europese privacywet. Iedereen die grensoverschrijdend onderneemt in Europa kan in ieder Europees land gecontroleerd worden. De pakkans is groter dan ooit. En de boetes die kunnen worden opgelegd zijn schrikbarend hoog.
Het is van belang om deskundige ondersteuning in te schakelen voor het ontwikkelen van internationaal privacybeleid. AhaErlebizz kan daarbij helpen. Wij werken samen met Nederlandse en Duitse juristen en met het privacymanagement bedrijd PrivacyZone.
AVG overtredingen worden in Duitsland en elders in Europa op een vergelijkbare manier aangepakt als internationale verkeersboetes worden geind. De Europese toezichthouders werken samen. Als er in Duitsland een AVG overtreding wordt geconstateerd wordt de afhandeling overgedragen aan de nationale toezichthouder in het vestigingsland van de ondernemer.
Zoals de Nederlandse justitie Duitse verkeersboetes incasseert bij Nederlanders die in Duitsland te hard hebben gereden.
Autoriteit Persoonsgegevens Baden-Württemberg
Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.
Autoriteit Persoonsgegevens Hamburg
Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.
Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”
Autoriteit Persoonsgegevens Noordrijn-Westfalen
Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.
Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.
Autoriteit Persoonsgegevens Berlijn
In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.
Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens
“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.
Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.
Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.
Twaalf keer zoveel datalekken
Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.
Veel apps voldoen niet aan de nieuwe privacyregels
Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”
De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.
Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens
Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.
Personeelstekort bij Autoriteit Persoonsgegevens
De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.
De Autoriteit Gegevensbescherming van de Duitse deelstaat Nedersaksen is begonnen met de eerste controle op naleving van de nieuwe Europese privacywet.
Nedersaksen is een van de 16 deelstaten (Bundesländer) van Duitsland. Iedere deelstaat heeft een eigen toezichthouder gegevensbescherming.
50 bedrijven in Nedersaksen (waaronder 20 grote en 30 middelgrote ondernemingen), met hoofdzetel in Nedersaksen, moeten duidelijk maken wat zij hebben gedaan om te voldoen aan de DSGVO.
DSGVO is de Duitse afkorting voor Datenschutz-Grundverordnung (DSGVO). Het is dezelfde Europese privacywet die in Nederland bekend staat als Algemene Verordening Gegevensbescherming (AVG).
De 50 bedrijven die nu worden gecontroleerd moeten een vragenlijst met 10 vragen invullen.
De eerste controle van de toezichthouder in Nedersaksen heeft voor bedrijven die nog niets hebben gedaan aan privacybeleid in hun organisatie grote gevolgen. Het is voor met name middelgrote en grote bedrijven onmogelijk om in korte tijd alsnog aan de wet te voldoen. Een excuus is er niet. Alle bedrijven hebben twee jaar de tijd gehad om te voldoen aan de DSGVO.
De toezichthouder in Nedersaksen zegt dat het niet de bedoeling is om meteen boetes op te leggen, maar “dat er uiteraard nog een procedure kan worden ingeleid indien tijdens het onderzoek inbreuken op het DSGVO worden vastgesteld.”
De autoriteit gegevensbescherming stelt de volgende 10 vragen:
1. Hoe hebt u zich als bedrijf voorbereid op de DSGVO?
Beschrijf (beknopt) de procedure, de betrokken gebieden en de genomen maatregelen. Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve dan ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.
2. Lijst van verwerkingen
Hoe zorgde u ervoor dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens werden opgenomen in een lijst van verwerkingsactiviteiten? Hoe zorgt u ervoor dat het up-to-date is? Voeg een overzicht van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld bij.
3. Toelaatbaarheid van de verwerking
Op welke rechtsgrondslag verwerkt u persoonsgegevens? Indien u ook persoonsgegevens verwerkt op basis van toestemmingen, gelieve dan de door u gebruikte methode om toestemming te vragen bij te voegen.
4. Desbetreffende rechten
Hoe waarborgt u de naleving van de rechten van de betrokkenen (informatie, openbaarmaking, correctie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)? Schets uw processen in dit verband en beschrijf in het bijzonder in detail hoe u uw informatieverplichtingen nakomt. Voeg a.u.b. bestaande voorbeeldinformatie bij.
5. Technische gegevensbeveiliging
a. Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat in verhouding staat tot het verwerkingsrisico?
b. Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?
c. Hoe verzekert u zich ervan dat u voor uw huidige of toekomstige IT-toepassingen over een gedocumenteerde rol en autorisatieconcept beschikt die in overeenstemming is met gegevensbescherming?
d. Hoe zorgt u ervoor dat bij het wijzigen of ontwikkelen van nieuwe producten of diensten van meet af aan rekening wordt gehouden met de vereisten inzake gegevensbescherming (ingebouwde privacy en standaardgegevens)?
6. Effectbeoordeling op het gebied van gegevensbescherming
a. Hoe zorgt u ervoor dat verwerkingen die waarschijnlijk een hoog risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat voor deze verwerkingen een effectbeoordeling op het gebied van gegevensbescherming wordt uitgevoerd?
b. Hebt u binnen uw bedrijf processen geïdentificeerd die waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van de betrokkenen? Welke?
Voeg de relevante documentatie bij de effectbeoordeling voor gegevensbescherming.
7. Opdrachtverwerking
Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regels van de DSGVO? Indien u gebruik maakt van voorbeeldcontracten, gelieve deze dan bij te voegen; voeg daarnaast een lopend voorbeeldcontract bij met één van uw contractverwerkers.
8. Functionaris Gegevensbescherming (FG)
Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie? Welke kwalificaties heeft hij?
9. Meldingsplichten
Hoe zorgt u ervoor dat uw bedrijf schendingen van gegevensbescherming tijdig meldt aan de toezichthoudende autoriteit? Schets uw relevante processen.
10. Documentatie
Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen hebt voldaan?
Downloaden vragenlijst
Hier kunt u de Duitstalige vragenlijst van de Autoriteit Gegevensbescherming inzien.
Controle antwoorden
De autoriteit geeft aan dat de antwoorden van de bedrijven voor november 2018 worden geëvalueerd en er vervolgens met een selectie van de bedrijven afspraken worden gemaakt voor controle door de autoriteit in het bedrijf zelf. Het eindverslag van deze audit zal in mei 2019 beschikbaar zijn.
De toezichthouder in Nedersaksen hoopt dat deze grootste audit sinds de oprichting van de toezichthoudende autoriteit ook aanwijzingen zal geven voor haar toekomstige werk. In bepaalde sectoren zouden bijvoorbeeld gerichte controles kunnen volgen.
Daarnaast verwacht de overheid aanwijzingen over waar nog een bijzondere behoefte aan advies en informatie bestaat. Als gevolg hiervan zouden bijvoorbeeld nieuwe oriëntatiehulpmiddelen kunnen worden ontwikkeld.
Door de gedetailleerde informatie die nu nodig is, zullen waarschijnlijk tal van betrokken bedrijven onder enorme druk komen te staan om in actie te komen. Want voor de gedetailleerde verwerking en notering is knowhow op het gebied van gegevensbescherming vereist en kost het ook tijd en mankracht.
Het zal met name moeilijk zijn voor bedrijven die het DSGVO en zijn eisen nog niet ten uitvoer hebben gelegd. Aangezien ook om een procedureoverzicht wordt gevraagd, kan de instantie gemakkelijk bepalen of er op 25 mei of later een implementatie heeft plaatsgevonden die in overeenstemming is met het DSGVO.
De aankondiging van de audit en de bekendmaking van de verwachte auditpunten zullen ertoe bijdragen dat opnieuw de nadruk wordt gelegd op de tenuitvoerlegging van de gegevensbescherming in de onderneming.
Het onderzoek moet volgens Duitse deskundigen serieus worden genomen. Er bestaat geen twijfel dat het gevaar bestaat dat er een eerste boete wordt opgelegd. De betroffen bedrijven hebben maar zeer kort de tijd om de vragen te beantwoorden. Bedrijven die hun privacybeleid niet op orde hebben kunnen zonder deskundige hulp amper nog effectieve verbeteringen doorvoeren.
De actie van de autoriteit in Nedersaksen toont aan hoe belangrijk het voor ondernemers is om hun privacybeleid op orde te hebben. Nederlandse ondernemers die ook in Duitsland actief zijn en denken dat dit voorbeeld aantoont dat ze nog wel even tijd hebben, omdat er immers begonnen wordt met een selecte groep van 50 Duitse bedrijven, wijzen we er met nadruk op dat in Duitsland behalve de autoriteit ook concurrenten en particulieren kostbare Abmahnung procedures kunnen beginnen.
Deskundig advies inwinnen
Laat uw Duitse site doorlichten door AhaErlebizz. Wij kunnen u in samenwerking met PrivacyZone.nl ook helpen uw zowel uw Nederlandse als uw Duitse site privacyproof te maken. Wij werken samen met het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen. Beide advocatenkantoren zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.
Bel: 0598-468860
Nederlandse online ondernemers die hun activiteiten naar Duitsland willen uitbreiden doen er sinds 25 mei 2018 meer dan ooit verstandig aan er voor te zorgen dat ze zich juridisch zeer zorgvuldig voorbereiden.
Wie denkt dat dankzij de Europese privacywetgeving iedere Nederlandse site die voldoet aan de AVG zonder problemen na een eenvoudige vertaling ook voldoet aan de Duitse wet begeeft zich op bijzonder glad ijs. In dit artikel leggen we uit waarom.
De Algemene Verordening Gegevensbescherming (AVG) is in Duitsland bekend als Datenschutz-Grundverordnung (DSGVO).
De privacyregels zijn in heel Europa gelijk. Toch is er een wezenlijk verschil tussen Duitsland en de rest van Europa. Dat is de handhaving. In Nederland rekenen veel ondernemers op coulance bij de handhaving van de regels. Ze houden rekening met een overgangsperiode. Eerst waarschuwingen, dan pas boetes.
De praktijk moet nog uitwijzen of het vertrouwen in de Nederlandse gedoogcultuur verstandig risicomanagement is.
Duitse ondernemers nemen die gok in ieder geval niet. En dat heeft te maken met de totaal andere manier waarop de naleving van de DSGVO in Duitsland gecontroleerd en gehandhaafd wordt. Duitsland heeft de handhaving als het ware geprivatiseerd.
Grote gespecialiseerde advocatenkantoren controleren websites van bedrijven op onregelmatigheden. Het minste of geringste verzuim wordt aangegrepen om een Abmahnung (waarschuwing) naar de eigenaar van de site te sturen. Een waarschuwing met eis tot aanpassing van de site binnen 14 dagen en meteen een gepeperde rekening van het advocatenkantoor, veelal ruim duizend Euro.
Wie niet reageert wordt voor de rechter gesleept en verliest de rechtszaak vrijwel zeker. De boetes lopen dan al gauw in de tienduizenden Euros.
Deze gang van zaken was in Duitsland ook voor de privacywet al gangbaar. De DSGVO zorgt er nu voor dat Duitse ondernemers als de dood zijn om ook maar het geringste steekje te laten vallen.
Een recent voorbeeld: een webshopeigenaar had verzuimd om zijn site te beveiligen met SSL. Hij kreeg een Abmahnung van 12.500 Euro. De klager wil een smartegeldvergoeding! Absurd, denkt u nu waarschijnlijk. Dat mag, maar als u zo’n Abmahnung ontvangt zult u hoe dan ook meteen in actie moeten komen. U zult een advocaat moeten inschakelen. Of u wint of verliest, het kost u veel tijd, ergernis en geld.
Vijf procent van de Duitse online bedrijven heeft al een waarschuwing ontvangen op basis van het DSGVO, blijkt uit onderzoek van het Bundesverband Digitale Wirtschaft (BVDW) e.V. onder zijn 278 leden. 28 procent verwacht binnenkort ook een Abmahnung te ontvangen.
43 procent van de Duitse online ondernemers geeft aan de digitale activiteiten te hebben beperkt vanwege het DSGVO.
Vijf procent van de ondervraagden geeft aan op basis van het DSGVO al een waarschuwing te hebben ontvangen.
Meer dan de helft (56 procent) van de ondervraagde bedrijven in de BVDW-studie verklaarde dat de hervorming van de gegevensbescherming een negatieve of zeer negatieve impact zal hebben op de omzetontwikkeling. Eén op de drie bedrijven (34 procent) ziet geen impact op de omzet.
AhaErlebizz helpt Nederlandse ondernemers te voldoen aan de Duitse privacywetgeving en andere wetten en regels die van toepassing zijn. Neem net als Duitse ondernemers geen risico en schakel professionele ondersteuning in.
Wie denkt klaar te zijn met een eenvoudige letterlijke vertaling van de Nederlandse site loopt sinds 25 mei in Duitsland grotere risico’s dan ooit.
Laat uw Duitse site doorlichten door AhaErlebizz. Wij kunnen u in samenwerking met PrivacyZone.nl ook helpen uw zowel uw Nederlandse als uw Duitse site privacyproof te maken. Wij werken samen met het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen. Beide advocatenkantoren zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.
Bel: 0598-468860