Bijna een jaar na de AVG. Waar staan we nu?

Veel bedrijven keken met vrees naar de handhaving van de Algemene Verordening Gegevensbescherming (AVG). Het zou allerlei drempels opwerpen voor direct marketing en overtredingen zouden worden beboet met enorme boetes. Zijn na 10 maanden de doemscenario’s uitgekomen of is het business as usual?

Het uitsturen van een factuur, een nieuwsbrief verzenden en nabellen of direct marketing zou na 25 mei 2018 totaal veranderen. De handhaving van de privacywet zouden de gegevens van EU-burgers beter beschermen, maar zou het bedrijven een stuk lastiger maken. De AVG-stress werd verder aangewakkerd door de aangekondigde boetes tot wel 20 miljoen euro of 4 procent van de wereldwijde omzet.

Privacygevoelige gegevens, niet versleuteld: 20.000 euro boete

Zijn er grote boetes uitgedeeld? Tot nu toe werden 59.000 lekken gemeld. Slechts 91 kregen een boete waaronder het Duitse social platform Knuddels. Het flirtportal had 800 duizend e-mailadressen en bijna 2 miljoen gebruikersnamen gelekt. Bovendien had men wachtwoorden als platte tekst opgeslagen. Omdat ze niet de juiste technische maatregelen hadden getroffen, kregen ze een boete van 20.000 euro. Het versleutelen van deze gegevens had ze deze boete en de bijhorende imagoschade bespaard.

Niet eerlijk over datalekken: 600.000 euro boete

Uber maakte het nog bonter en kreeg in november 2018 een boete van 600.000 euro opgelegd van de Nederlandse Autoriteit Persoonsgegevens. Het taxiplatform had een groot datalek van 57 miljoen gebruikers, waaronder 174.000 Nederlanders, niet gemeld. Bovendien betaalde Uber hackers om het datalek met namen, e-mailadressen en telefoonnummers stil te houden.

De hoogste boete tot nu toe was voor Google.

Niet transparant naar gebruikers: 50 miljoen boete

Google kreeg tot nu toe de hoogste boete. De zoekgigant moest 50 miljoen aan de Franse toezichthouder CNIL overmaken omdat het de privacy-voorwaarden niet toegankelijk had gemaakt. Gebruikers moesten daarnaast te veel handelingen uitvoeren om hun gegevens in te zien en Google haalde te veel informatie op zonder de uitdrukkelijke toestemming van burgers.

Wat is er veranderd in de praktijk?

Deze boetes maakten maken duidelijk wat organisaties wél moeten doen om AVG-compliant te werken. Is er voor marketeers en dataverwerkers veel veranderd? Niet heel veel, er was al uitdrukkelijk toestemming nodig om mensen te mailen. Opt-in e-mailbestanden kun je gewoon huren en inzetten in campagnes. Databases met persoonsgegevens die voordat de AVG in werking trad zijn samengesteld, mogen overigens zonder problemen worden gebruikt en verhandeld. Databases met persoonsgegevens die na de ingang van de AVG zijn samengesteld, kunnen alleen nog verhuurd worden als deze personen toestemming gegeven hebben.

Toch business as usual?!

Ook telemarketingkantoren hoeven de deuren niet te sluiten na de invoering van de AVG. Staat een persoon niet in het Bel-me-niet Register, dan is deze met een gerust hart te bellen. Rechtspersonen als BV’s mogen altijd zonder toestemming gebeld worden.

Er komt wel een verbod op ongevraagde telefonische verkoop naar consumenten. Deze nieuwe regel gaat gelden zodra de ePrivacy verordening van kracht gaat. Er is verder niet heel veel veranderd, al is het belangrijk dataprivacy goed te regelen in de hele organisatie. Van de IT-afdeling tot marketing en administratie moet met elkaar aan tafel om te zorgen dat alle processen en procedures op orde zijn.