Twee jaar AVG, waar staan we nu?

Twee jaar AVG, waar staan we nu?

25/05/2020

Vandaag is het exact twee jaar geleden dat op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. De AVG (internationaal bekend als General Data Protection Regulation, of GDPR) is de Europese wetgeving op het gebied van privacy en beschrijft hoe organisaties die persoonsgegevens vastleggen hiermee om dienen te gaan.

In Nederland is de Autoriteit Persoonsgegevens de toezichthouder op de naleving van de AVG. Zo voert de Autoriteit Persoonsgegevens onderzoeken uit naar de bescherming van persoonsgegevens en privacy binnen organisaties, verzorgen zij voorlichting over de betreffende wet- en regelgeving en leggen zij boetes op indien de AVG overtreden wordt.

Nu de AVG twee jaar actief is in Nederland, lijkt het ons een goed moment om terug te blikken wat deze wet- en regelgeving voor organisaties heeft betekend.

 

Impact van de AVG in de afgelopen twee jaren

Zowel 2018 als 2019 stonden voor de Autoriteit Persoonsgegevens in het teken van voorlichting geven over de nieuwe privacywet. Hierbij zorgde de Autoriteit Persoonsgegevens voor hulp bij de interpretatie en implementatie van de AVG voor organisaties. Dat deze inzet op voorlichting werkt komt duidelijk naar voren in het aantal meldingen van datalekken, bijvoorbeeld van situaties waarin persoonsgegevens in handen van onbevoegden kwamen. De onderstaande grafiek laat het aantal datalekmeldingen van 2016 tot en met 2019 zien:

Er is een duidelijke stijging zichtbaar in 2018, het jaar waarin de AVG van toepassing werd. De stijging zet door in 2019. Meer organisaties lijken zich dus bewust te zijn van het feit dat zij datalekken moeten melden bij de Autoriteit Persoonsgegevens.

Met het melden van datalekken behoort Nederland tot de koplopers binnen de Europese landen, naast Duitsland en het Verenigd Koninkrijk. In Nederland wordt, gemiddeld genomen per inwoner, het hoogste aantal datalekken in Europa gemeld. Dit toont aan dat we in Nederland vooroplopen op het gebied van bescherming van persoonsgegevens.

Het grootste deel van de 26.956 meldingen in 2019 komt uit de sectoren Financiële dienstverlening en Zorg, zoals terug is te zien in onderstaande afbeelding:

De top 3 sectoren met de meeste meldingen is ongewijzigd gebleven sinds 2018.

Hoewel de Autoriteit Persoonsgegevens aangeeft dat 2018 en 2019 met name in het teken stonden van informeren en niet van handhaving, is in 2019 een lichte stijging te zien van het aantal boetes en/of dwangsommen die door de Autoriteit Persoonsgegevens zijn opgelegd aan verschillende organisaties.

Op basis van deze gegevens is het lastig conclusies te trekken over de toekomst, maar wanneer we de trend van de eerste maanden in 2020 doortrekken dan lijkt het er sterk op dat ook in 2020 actiever gehandhaafd gaat worden.

 

Dit zijn onze ervaringen

Wij zien dat steeds meer organisaties actief gestart zijn met hun beleid op het gebied van bescherming van persoonsgegevens. De redenen hiervoor zijn echter vaak extern. Zo leggen bijvoorbeeld certificeringsaudits meer nadruk op de bescherming van persoonsgegevens.

Veel organisaties geven ook aan dat ze (nog) niet de druk van de Autoriteit Persoonsgegevens voelen om actief aan de slag te gaan met het beschermen van persoonsgegevens. Onze verwachting is echter dat de handhaving op dit vlak strikter zal worden, nu organisaties meer dan voldoende tijd hebben gehad om met de bescherming van persoonsgegevens aan de slag te gaan.

Gelukkig horen wij ook steeds vaker dat organisaties niet uit angst voor een boete over gaan tot het beschermen van persoonsgegevens, maar dit doen omdat zij de privacy van hun klanten en medewerkers hoog in het vaandel hebben.

 

Hoe wij organisaties helpen met het beschermen van persoonsgegevens

Er zijn veel acties die organisaties kunnen ondernemen om te voorkomen dat persoonsgegevens inzichtelijk zijn voor onbevoegden, bijvoorbeeld op het gebied van toegangsrechten. Wij zien echter ook vaak situaties waarbij dit niet direct mogelijk is. Voorbeelden zijn het ontwikkelen of testen van softwareoplossingen die persoonsgegevens verwerken en het analyseren van gegevens ten behoeve van rapportages.

In deze situaties biedt het anonimiseren van de privacygevoelige gegevens uitkomst, door middel van onze oplossing Data Privacy Guard. Na anonimiseren is het niet meer mogelijk om een natuurlijk persoon te identificeren, maar kunnen de gegevens nog wel gebruikt voor het ontwikkelen en testen van software en voor analysedoeleinden. Doordat geanonimiseerde gegevens niet onder de AVG vallen, is de strikte wet- en regelgeving niet meer van toepassing.

 

Wilt u weten hoe wij kunnen helpen uw persoonsgegevens te anonimiseren?

Wij laten u graag Data Privacy Guard in actie zien! U kunt via dit formulier een afspraak inplannen voor een demo of een Proof of Concept (PoC) op uw omgeving aanvragen. Ook kunt u contact met ons op te nemen doormiddel van ons contactformulier.

 

Bronnen:

Add your Comment