Wolters Kluwer
Vaktechniek door Nathanja de Kruijff 28 januari 2019

AVG/GDPR in 2019: wat kun je verwachten?

De implementatie van de AVG/GDPR-wetgeving ligt al enige tijd achter ons. Het nieuwe jaar is begonnen met de Europese Dag van de Privacy op 28 januari. Voor compliance officer Nathanja de Kruijff een goed moment om terug te blikken en  vooral – vooruit te kijken. In haar blog lees je wat er op het gebied van de AVG/GDPR is gebeurd en wat je dit jaar kunt verwachten. "Ik verwacht dat de professionalisering en stabilisering van privacy en compliance de belangrijkste ontwikkelingen in 2019 zijn."

25 mei 2018. Het is een datum die we niet snel zullen vergeten. De AVG (Algemene verordening gegevensbescherming) werd van kracht. De AVG is ook wel bekend onder de Engelse naam: GDPR (General Data Protection Regulation). De Autoriteit Persoonsgegevens is er druk mee, maar wat brachten de nieuwe privacyregels ons?

AVG/GDPR in een notendop

Om je geheugen op te frissen: de AVG/GDPR-wetgeving vergroot de privacyrechten van individuen en legt meer verantwoordelijkheden en verplichtingen bij organisaties. Zo heb je als kantoor je een zogeheten 'verantwoordingsplicht' (accountability).

Dit zijn de belangrijkste punten waaraan je je volgens de AVG/GDPR moet houden:

  • het bijhouden van een register van verwerkingsactiviteiten
  • het uitvoeren van een data protection impact assessment (DPIA)
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt;
  • wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming (FG) aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een FG aan te stellen.

Feiten en cijfers AVG/GDPR sinds mei 2018

Sinds de inwerkingtreding van de AVG/GDPR is er, zichtbaar en onzichtbaar, al veel gebeurd. Enkele feiten en cijfers voor je op een rij:

  • Sinds mei vorig jaar heeft de Autoriteit Persoonsgegevens 22.000 vragen ontvangen. In 10.000 gevallen gaat het om een klacht.
  • Meer dan helft van de vragen is inmiddels afgehandeld.
  • 44% van alle vragen is nog altijd (januari 2019) in behandeling.
  • Er lopen 11 handhavingsonderzoeken in de publieke en private sector in ons land. 

Jouw onderneming ook onder de loep?

De AVG/GDPR-wetgeving heeft de Autoriteit Persoonsgegevens tanden gegeven en daarvan gaan we in 2019 de eerste gevolgen merken. Hoewel de interne organisatie nog niet op volle sterkte is (kijk maar naar de vele openstaande vacatures), blijft waakzaamheid geboden. Zelfs jouw onderneming kan slechts één klacht verwijderd zijn van een onderzoek.

Hoge boetes

Voor wie denkt dat het allemaal zo'n vaart niet loopt, is het goed om te weten dat diverse bedrijven, groot en klein, de afgelopen tijd op de vingers zijn getikt. Zo ontving techgigant Google een boete van 50 miljoen euro voor het niet nakomen van AVG-/GDPR-verplichtingen. Kleinere, lokale ondernemingen in Europa gingen op de bon voor enkele duizenden euro's. Bijvoorbeeld voor het gebruiken van een beveiligingscamera in een openbare ruimte of het op een onveilige manier opslaan van wachtwoorden

N.B. Een boete voor het overtreden van de AVG/GDPR-wetgeving bedraagt maximaal 20 miljoen euro of 4% van de wereldwijde omzet.

2019: professionalisering en stabilisering van privacy en compliance

Nu we allemaal stappen hebben gemaakt op AVG-/GDPR-gebied, is het tijd voor de volgende stap. Ik verwacht dat de professionalisering en stabilisering van privacy en compliance de belangrijkste ontwikkelingen in 2019 zijn. De Autoriteit Persoonsgegevens en ook klanten hebben bedrijven het afgelopen jaar de tijd gegeven om te wennen aan de nieuwe regels. Die enigszins flexibele houding blijft natuurlijk geen stand houden. Het thema privacy is volwassen. Dat blijkt ook uit de aandacht die de verschillende media aan privacy geven, via bijvoorbeeld tv-programma's als Radar en de Privacytest. Burgers krijgen meer kennis en stellen zich daardoor ook veeleisender op. Voor bedrijven is het dus zaak om in 2019 professioneel door te pakken met de AVG/GDPR-wetgeving.

Wat te doen als accountant of ondernemer?

Mijn belangrijkste tip voor 2019: probeer deze eerste, wellicht wat rustigere, maanden van 2019 te gebruiken om je AVG-/GDPR-processen na te lopen en waar nodig op orde te brengen. Stel prioriteiten en maak keuzes om compliant te werken. Laat privacywerkzaamheden waar je al eerder aan begonnen bent niet liggen. Voor je het weet, kun je straks weer helemaal opnieuw beginnen. Zie de AVG/GDPR-wetgeving daarbij als een kans om je bestaande processen te heroverwegen en te vernieuwen. En bedenk dat klanten eerder kiezen voor bedrijven die werk maken van privacy. Daarnaast is het een kans om je te onderscheiden van de concurrenten door aantoonbaar compliant te zijn.

Houd ook de ontwikkelingen op het gebied van privacy en compliance goed in de gaten. Welke boetes legt de Autoriteit Persoonsgegevens bijvoorbeeld op en waarom? Welke concrete richtlijnen publiceert de Autoriteit Persoonsgegevens? Zo krijg je steeds meer informatie over wat de nu toch nog best abstracte AVG/GDPR-uitgangspunten in de praktijk inhouden.

2020 en verder: e-Privacyverordening (ePV)

Goed om te weten: medio 2020 komen er naar verwachting nieuwe regels voor het gebruik van persoonsgegevens voor elektronische communicatiediensten. Denk onder meer aan het gebruik van 'cookies'. Meer over deze zogeheten e-Privacyverordening (ePV) kun je lezen in een van mijn volgende blogs. 

De nieuwste blogs 

Wil je automatisch op de hoogte blijven van nieuwe blogs op De online accountant? 
Meld je aan en je ontvangt een e-mail met de nieuwste blogs.  

Aanmelden blog.png 

Onze meest recente blogs:

Vaktechniek

Einde traditionele accountancy: tijd om te veranderen?

Vaktechniek

Fiscale bewaarplicht: 7 punten waar je niet omheen kunt

Ondernemen

Een nieuwe fase in samenwerken voor accountants

Vaktechniek

De zelflerende robot is dit jaar blijven zitten

Branchekennis

Adviseer bouwbedrijven om processen te automatiseren