Zeg, vergeet je die privacywet niet?

Je houdt je niet aan de AVG om boetes te mijden maar omdat je om je klanten geeft

De storm rond de AVG lijkt te zijn gaan liggen, maar schijn bedriegt. De Autoriteit Persoonsgegevens is nog altijd streng. Het automatiseren van compliance kan uitkomst bieden als er toch soms per ongeluk een nieuwe pixel of cookie tussendoor glipt.

Volgens de Autoriteit Persoonsgegevens heeft de Algemene verordening gegevensbescherming (AVG), die sinds 25 mei 2018 van kracht is, onder meer gezorgd voor versterking en uitbreiding van privacyrechten van consumenten, meer verantwoordelijkheden voor organisaties en dezelfde bevoegdheden voor alle Europese privacy toezichthouders.

Voor veel organisaties heeft de AVG (ook wel GDPR genoemd) vooral geleid tot kopzorgen en enorme juridische en operationele kosten om te voldoen aan de richtlijnen. Het belangrijkste succes van de privacywet tot nu toe is waarschijnlijk de bewustwording bij bedrijven over het belang van privacy van de consument.

Veel klachten maar nog weinig boetes

De Autoriteit Persoonsgegevens (AP) en alle Europese privacytoezichthouders hebben de bevoegdheid om boetes tot 20 miljoen euro op te leggen, maar in Nederland zijn tot nu toe vrijwel geen grote boetes opgelegd. Onlangs werd door de AP wel een grote boete van 525.000 euro opgelegd aan tennisbond KNLTB voor het verkopen van persoonsgegevens van een paar honderdduizend leden aan twee sponsoren in 2018.

Organisaties krijgen gelukkig niet zomaar een privacy-boete

In 2019 dienden meer dan 27.800 mensen een klacht in bij de AP vanwege een mogelijke privacyschending. Dat was bijna 79 procent meer dan in 2018. Ondanks maatregelen om klachten sneller af te handelen, blijft de capaciteit van de privacytoezichthouder onvoldoende om burgers snel genoeg te helpen. De meeste klachten (29 procent) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Verder gingen ze over ongevraagde reclame (15 procent) en over organisaties die persoonsgegevens doorgeven aan derden terwijl consumenten dit niet weten of willen. Ze worden dan bijvoorbeeld gebeld door onbekende bedrijven met aanbiedingen.

Onbewuste privacyschending

Door het uitblijven van grote boetes bestaat het gevaar dat de aandacht voor het onderwerp bij organisaties verslapt. Maar de AP is van plan om de capaciteit te vergroten en meer meldingen te kunnen onderzoeken. In december publiceerde de autoriteit bijvoorbeeld de resultaten van een controle die ze uitvoerde bij circa 175 websites van onder meer webshops, gemeenten en media. Bijna de helft van de websites die gebruik maken van tracking cookies voldeed niet aan de toestemmingsvereisten. Zij ontvingen een brief waarin zij werden opgeroepen hun werkwijze aan te passen.

Er glipt snel een nieuwe pixel of cookie tussendoor

Organisaties krijgen gelukkig niet zomaar een boete. Maar negatieve publiciteit over de manier waarop je omgaat met privacy als gevolg van een waarschuwing van de AP, kun je beter voorkomen.

Up-to-date privacystatement

Het voldoen aan de AVG doen organisaties als het goed is niet in de eerste plaats om boetes te voorkomen maar bovenal omdat zij het beste voor moet hebben met hun klanten en hun privacy. Het bieden van transparantie via een up-to-date privacystatement is daarom belangrijk.

Maar zelfs als je als organisatie te goeder trouw bent kan er nog wel eens een cookie of pixel tussendoor glippen. Een ijverige marketeer die een interessante nieuwe tool even snel wil testen, kan vergeten het privacystatement te updaten. Hetzelfde geldt wanneer je juist geen gebruik meer maakt van een technologie die nog wel in het statement wordt genoemd. Voortdurende inspanningen om te voldoen aan de wet zijn noodzakelijk om geen risico te lopen op een boete of het vertrouwen van klanten te schaden.

Minimaliseer risico’s door compliance te automatiseren

Het risico op een waarschuwing, boete en negatieve publiciteit kan worden voorkomen door de inzet van een zogenaamde cookie scraper. Deze gaat door de sitemap van een website en selecteert een willekeurige lijst van url’s. Vervolgens worden die links bezocht en alle gevonden cookies worden opgeslagen in een database. Veranderingen worden gerapporteerd via bijvoorbeeld een e-mail aan de compliance officer.

Nog steeds belangrijk

Hoewel de storm rond de AVG lijkt te zijn gaan liggen, is het dus nog steeds belangrijk het onderwerp hoog op de agenda te houden en gehoor te geven aan de wens van de consument om transparantie.

Het risico op een boete en bijkomende negatieve publiciteit kan eenvoudig worden verkleind door de slimme inzet van een geautomatiseerde tool. Deze monitort veranderingen en zorgt ervoor dat het privacystatement altijd actueel is. Naast harde resultaten beschik je over aantoonbare inspanningen om te voldoen aan de wet.

Wanneer je al gebruik maakt van cloud-oplossingen zoals bijvoorbeeld Google 360, is de implementatie van een oplossing binnen je bestaande omgeving dichterbij dan je denkt. Het risico van (onbewuste) schending van de privacywet staat niet in verhouding tot het geringe werk om deze oplossing te gebruiken.