Wanneer we terugkijken naar 2018 kunnen we om één ding niet heen: de inwerkingtreding van de Algemene Verordening Gegevensbescherming (‘AVG’) op 25 mei 2018. In aanloop naar deze datum, maar ook zeker nog geruime tijd daarna werd een flinke toename gezien in AVG-gerelateerde werkzaamheden. Dit niet zonder reden. De AVG legt verwerkingsverantwoordelijken én verwerkers vergaande verplichtingen op, die zich voor deze organisaties vertalen in met name extra administratieve en organisatorische lasten, zoals het verplicht instellen van een register gegevensverwerkingen. Voldoet een organisatie niet aan deze verplichtingen, dan bestaat het risico op handhaving door de Autoriteit Persoonsgegevens. In deze bijdrage wordt teruggekeken op de handhavingsactiviteit van de AVG in 2018, en wordt kort vooruitgeblikt op 2019.

Handhaving door de Autoriteit Persoonsgegevens werd reeds vóór 25 mei 2018 aangekondigd. Organisaties die wettelijk verplicht zijn een functionaris gegevensbescherming aan te stellen, dienden deze uiterlijk 25 mei 2018 aan te melden. Bij registratie op later datum bestond het risico op handhaving, onder meer door oplegging van waarschuwingen of (in het ergste geval) boetes. In de zomer van 2018 heeft de Autoriteit Persoonsgegevens in dit kader ook actief onderzoek gedaan naar ziekenhuizen en zorgverzekeraars die op dat moment nog geen functionaris gegevensbescherming hadden aangesteld.

In juli 2018 heeft de Autoriteit Persoonsgegevens haar handhaving uitgebreid naar het hanteren van een register gegevensverwerkingen. Dit register werd steekproefsgewijs opgevraagd bij verschillende private partijen in de sectoren industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. In december 2018 vond daarnaast een actieve controle plaats op het hanteren van een deugdelijk privacybeleid bij specifieke zorginstellingen en politieke partijen.

Op het moment van schrijven van deze bijdrage (medio januari 2019) heeft de Autoriteit Persoonsgegevens aangekondigd te gaan handhaven op het hanteren van deugdelijke verwerkersovereenkomsten. De focus van de Autoriteit lijkt hiermee steeds breder te worden en meer sectoren te beslaan. Onze verwachting is dat de focus in 2019 nog verder zal worden uitgebreid naar gegevensuitwisseling met het buitenland, profilering en het gebruik van diverse technologieën om internet- en appgebruikers te kunnen volgen. De Autoriteit Persoonsgegevens lijkt meer slagkracht te krijgen en haar handhavingsbevoegdheden steeds optimaler in te zetten.