Waarschijnlijk klinkt 25 mei 2018 als iedere andere willekeurige datum in het jaar. Maar voor sommige mensen staat deze datum wellicht nog diep in het geheugen gegrift als die ene uiterste keiharde deadline: vanaf die dag werd in 2018 de Algemene Verordening Gegevensbescherming (AVG) namelijk gehandhaafd. Dat betekent natuurlijk een mooi moment voor een jublileum terugblik.
Vrienden en vijanden
Sinds haar entree heeft de AVG zowel vrienden, als redelijk wat vijanden gemaakt. De veelgehoorde zin “Ja, maar dat mag dus niet van de AVG”, geeft aan hoe de toepassing bij organisaties nog altijd lastig blijft, omdat in uitspraken als deze de nuance vaak ontbreekt.
Toegegeven: er is niet zoveel mis met, by default, zo min mogelijk te doen met de persoonsgegevens in je organisatie. Maar het verzoek om gegevens te gaan verwerken in een nieuw, voorgenomen proces, leidt ook vaak tot een direct “nee”, zonder enige uitleg. Dat kan ook projecten in de weg zitten, waar je juist met tijd, aandacht en wat bijschaven, een verwerking rechtmatig kan laten verlopen. Een project waarmee je als organisatie mogelijk het werk leuker en gemakkelijker zou kunnen maken voor je collega’s en voor je klanten. Een passende reactie zou dan kunnen zijn: “Als je de verwerking beperkt tot alleen deze en deze persoonsgegevens en die maatregelen neemt, dan mag dat”.
De AVG in cijfers
Ondanks die ‘kramp’, worden er natuurlijk alsnog voldoende gegevens verwerkt. Daarom goed om eens te kijken: wat voor effect heeft AVG de laatste 5 jaar gehad? Hoe staat het, met het aantal datalekmeldingen en wat zijn de boetes die door de verschillende nationale toezichthouders zijn uitgedeeld?
Veel organisaties hebben in de afgelopen 5 jaar geïnvesteerd in de juiste organisatorische en technische maatregelen. Hierdoor werden bij deze organisaaties de eventuele nare gevolgen van een datalek beperkt: boetes die konden oplopen tot 4% van de wereldwijde jaaromzet, reputatieschade ofn kostenverlies door stilgevallen activiteiten.
Maar er zijn ook voldoende bedrijven, waar de maatregelen nog niet afdoende bleken. Hoewel het aantal slachtoffers wereldwijd, door hacking, malware en phishing, sinds 2018 significant is gedaald (van 2.2 miljard naar 400 miljoen in 2022). Heeft er in 2022 weer een stijging van 41.5 % plaatsgevonden ten opzichte van 2021, aldus het Annual Data Breach Report.
Hoe heeft Nederland het in de afgelopen 5 jaar gedaan?
- Nederland staat met het aantal van 117.434 op de eerste plaats met het hoogst aantal gemelde datalekken in Europa (bron: DLA Piper), sinds de invoering van de AVG in mei 2018. Dat is zo’n 142 meldingen per 100.000 inwoners! Enige nuance is volgens DLA Piper wel op zijn plaats: “In Nederland bestond er voor de AVG werd ingevoerd al sinds januari 2016 een meldplicht datalekken. Organisaties en bedrijven zijn hier dus al langer gewend om een melding te maken. Ook is van belang hoe de toezichthouder omgaat met meldingen. Bij verreweg de meeste meldingen onderneemt de toezichthouder geen vervolgactie. In Nederland zie je dan ook dat er bij twijfel of er wel of niet gemeld moet worden, dit zekerheidshalve vaak wel gedaan wordt. Dit gebeurt in andere landen minder, wellicht deels ook uit angst voor de strenge toezichthouder.”
- Het totaal aantal datalekmeldingen in Europa was 464.232. Dat houdt in, dat Nederland goed was voor 25,3% van het aantal datalekmeldingen in Europa.
- Het afgelopen jaar (2022) kwamen er 25.265 meldingen binnen bij de Autoriteit Persoonsgegevens t.o.v. 24.777 in het jaar daarvoor.
- In Nederland legde de Autoriteit Persoonsgegevens in totaal voor 13.7 miljoen euro aan boetes op. De hoogste boete, van 2.75 miljoen euro, ging naar de Belastingdienst. Zij verwerkten jarenlang, op onrechtmatige en discriminerende wijze, de gegevens van aanvragers van kinderopvangtoeslag met een dubbele nationaliteit. Andere hoge boetes waren voor Tiktok (750 duizend euro) en Transavia (400 duizend euro).
Hoogste boetes in Europa
Net als de Autoriteit Persoonsgegevens leggen nationale toezichthouders uit andere EU-lidstaten, in twee categorieën boetes op, namelijk (1) in het geval een organisatie bepaalde verplichtingen onder de GDPR niet nakomt of (2) in het geval een organisatie de beginselen of grondslagen van de GDPR niet nakomt of dat de privacyrechten van betrokkenen niet worden nagekomen.
In de afgelopen 5 jaar zijn er in Europa een totaal van 4.1 miljard euro aan boetes uitgegeven, sinds de intreding van de GDPR/AVG. De hoogste boete, van 1.2 miljard euro, is door de European Data Protection Board gegeven aan Meta. Samen met 4 eerdere boetes, dat door de Ierse Data Protection Commissioner is uitgegeven aan Meta, is de totale boetepot voor hen ruim 2.2 miljard euro.
Welke datalekken worden het vaakst gemeld?
Het valt op dat veruit de meeste datalekken ontstaan bij per post bezorgde persoonsgegevens. De meest voorkomende reden waarom dit incident optreedt, is dat de geadresseerde niet langer op het geregistreerde adres woont.
Een ander veelvoorkomend datalek is een e-mail met persoonsgegevens versturen naar de verkeerde ontvanger.
Blik op de toekomst
Om bedrijven nog veiliger te maken tegen datalekken en cybercrime wordt er in de komende jaren vanuit Europa weer allerlei nieuwe wetgeving geïntroduceerd. Denk hierbij aan de Artificial IntelIigence verordening en de NIS II. En zou het gebeuren? Gaat de ePrivacy verordening eindelijk worden aangenomen?
Ook met deze wetgevingen moeten we met zijn allen aan de slag. Die inspanning is voor bedrijven soms best lastig, want wanneer doe je het goed? Met MnP Solutions blijven we continu gemotiveerd bezig om je op dit onderwerp te ontlasten. Dan kun jij weer verder.
Samen goed voorbereid die toekomst in? De Privacy Hub van MnP Solutions helpt je organisatie om compliant te zijn met de AVG en zo boetes te voorkomen. Neem contact op met privacy@mnpsolutions.nl, dan kijken we samen naar een AVG proof beleid voor jouw organisatie
