GDPR één jaar later…

Posted on Posted in BCONN Nieuws

Geschreven door Nico Agten, Technisch Consultant Security bij BCONN ICT

Een jaar geleden was het D-Day: op 25 mei 2018 werden alle bedrijven in Europa verplicht om te voldoen aan de General Data Protection Regulation (GDPR) ook wel AVG genoemd.

De Autoriteit Persoonsgegevens (AP, toezichthouder op het verwerken van persoonsgegevens) zit in ieder geval niet stil. De organisatie is het afgelopen jaar bijna verdubbeld in omvang en breidt nog altijd haar capaciteit uit. In 2018 zijn er 20.881 datalekken gemeld bij de AP en zijn er 11.413 klachten ontvangen. De eerste boetes zijn inmiddels ook al uitgedeeld.

Bijvoorbeeld TBG Bank betaalde een dwangsom van € 48.000,= omdat het geen gehoor gaf aan een verzoek aan inzage. Het UWV kreeg een dwangsom van € 150.000,= per maand vanwege de slechte beveiliging van persoonsgegevens. De AP legde Uber een boete van € 600.000,= op. Het verplichtte banken en verzekeraars om een functionaris gegevensbescherming (FG) aan te stellen en de contactgegevens van de FG bekend te maken. De Belastingdienst mag vanaf 1 januari 2020 het BSN-nummer niet meer gebruiken in het BTW-nummer, et cetera.

Ook in het buitenland wordt de GDPR gehandhaafd. In Engeland werd Heathrow Airport beboet voor £ 120.000,= nadat gevoelige gegevens gelekt werden door een achtergelaten USB-stick, gevonden door een passagier. De hoogte van de boete werd echter nog bepaald aan de hand van oude wetgeving, omdat het incident al in 2017 werd gemeld. Indien de GDPR al eerder actief was geweest kon de boete oplopen tot £ 17 miljoen. In Frankrijk werd Google beboet met een boete van € 50 miljoen.

Helaas zijn er nog nu 5 EU-landen (Bulgarije, Griekenland, Slovenië, Portugal en Tsjechië) die hun wetgeving nog niet volledig in lijn hebben gebracht met de Europese GDPR-richtlijn.

Het lijkt het erop dat de GDPR op korte termijn toch al effect heeft, de nieuwe regels zijn voor vele bedrijven een aanzet om bewuster bezig te zijn met de verwerking van persoonsgegevens. De meeste bedrijven hebben hun veiligheidsrichtlijnen onder de loep genomen om ervoor te zorgen dat de verzamelde persoonsgegevens niet in verkeerde handen terecht kunnen komen.

Voor de particuliere EU-burgers is er meer duidelijkheid gecreëerd en hun rechten zijn duidelijker afgebakend en uitgebreid: persoonsgegevens kunnen worden ingekeken, aangepast en klachten kunnen worden ingediend. Voorheen was dit nauwelijks mogelijk.

Bron: jaarverslag van AP