Privacy bescherming door bedrijven: een zwaard van Damocles?

Met het vooruitzicht van in werking treden van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) op 25 mei 2018 en het vervallen van de Wet bescherming persoonsgegevens (hierna: “Wbp”), wordt de volgende vraag steeds belangrijker voor bedrijven: “In hoeverre is mijn bedrijfsvoering in overeenstemming met de (nieuwe) wettelijke bepalingen inzake privacy”?

Gelet op de recente berichtgeving, lijkt het gerechtvaardigd om de conclusie te trekken dat de meeste bedrijven geen of onvoldoende aandacht hebben besteed aan het onderwerp privacy. Een voorbeeld hiervan is Equifax, een Amerikaans kredietbureau, dat recent bekend maakte dat de persoonsgegevens waarover zij beschikte – bestaande uit onder meer namen, adressen, burgerservicenummers – van 143 miljoen Amerikanen in de handen gevallen zijn van hackers, een zogeheten datalek. Men spreekt van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben maar toch over deze gegevens komen te beschikken. Voorbeelden hiervan zijn – zoals in het geval van Equifax – uitgelekte computerbestanden maar ook naar een verkeerd adres verzonden e-mail. Hoewel het onderzoek naar het datalek van Equifax nog loopt, ligt het in lijn der verwachtingen dat Equifax een boete opgelegd krijgt.

Wanneer men de AVG aandachtig bestudeert, dan valt het op dat er in de verordening veel aandacht besteed is aan boetes, waarbij er grofweg twee categorieën te onderscheiden zijn:

1. artikel 83 lid 4 AVG: boetes van ten hoogste €10 miljoen of 2 procent van de wereldwijde omzet; en

2. artikel 83 lid 5 AVG: boetes ten hoogste €20 miljoen of 4 procent van de wereldwijde omzet van de verwerker/verwerkersverantwoordelijke.

Naar gelang de overtreding, valt men onder categorie i in het geval van bijvoorbeeld een overtreding van het recht op vergetelheid of ii wanneer bijvoorbeeld het verwerken van gegevens geschiedt voor andere doelen dan waarvoor men de gegevens verkregen heeft. Gelet op het voorgaande is het van belang om te vergewissen wat de rechten en plichten zijn in het geval van een datalek, temeer omdat de Wbp vervangen wordt door de AVG.

Een ander recent privacyrechtelijk voorbeeld is het besluit van de AEPD, Spaanse Autoriteit Persoonsgegevens (Agencia Española de Protección de Datos), om Facebook wegens schending van de privacywet een boete van €1,2 miljoen op te leggen. De AEPD legt aan haar besluit ten grondslag dat Facebook gegevens (zoals geloofsovertuiging maar ook surfgedrag) van haar gebruikers verzamelt en opslaat zonder daarbij te beschikken over de toestemming van die gebruiker. Daarnaast concludeert de AEPD onder meer dat vele bepalingen van de privacyvoorwaarden van Facebook zeer vaag zijn, waardoor de vraag welke gegevens verzameld en verwerkt worden zeer moeilijk te beantwoorden is voor de gemiddelde Facebookgebruiker. Juist in dit kader realiseert de AVG meer rechten voor betrokkenen die bijvoorbeeld rechtstreeks beroep kunnen doen op de verwerker.

De voorbeelden van Equifax en Facebook benadrukken dat privacy een zeer actueel onderwerp is en dat de AVG veel belangstelling geniet en vergaande consequenties kan hebben voor bedrijven. De voornoemde voorbeelden rechtvaardigen het voorstel om nogmaals zeer kritisch naar de eigen bedrijfsvoering te kijken om boetes en andere kosten te vermijden. Immers voorkomen is altijd beter dan herstellen.