Nemen bedrijven de AVG nog steeds serieus?

Door Dan Raywood • 16 May 2023

Is het nu vijf jaar geleden dat de AVG van kracht werd? Heeft het gebrek aan aanzienlijke boetes ertoe geleid dat sommige CEO's de AVG niet zo serieus hebben genomen? Dan Raywood onderzoekt of de AVG de hype niet heeft waargemaakt.

In de aanloop naar mei 2018 was de verwachting van de AVG dat dit een belangrijke gamechanger zou zijn op het gebied van compliance-handhaving. Vanaf de eerste gesprekken over de hervorming van de gegevensbescherming was het duidelijk dat het handhavingsniveau belangrijker zou zijn dan de maximale geldboete van £ 500,000 die de Information Commissioner's Office (ICO) in 2011 was begonnen uit te vaardigen.

In feite is de GDPR bepaalde dat voor “bijzonder ernstige overtredingen het boetekader kan oplopen tot 20 miljoen euro, of in het geval van een onderneming tot vier procent van de totale mondiale omzet van het voorgaande fiscale jaar, afhankelijk van welke van de twee het hoogst is.” Zelfs voor minder ernstige overtredingen voorziet artikel 83, lid 4, in boetes tot 10 miljoen euro, of, in het geval van een onderneming, tot twee procent van de totale mondiale omzet van het voorgaande fiscale jaar, afhankelijk van welke van de twee het hoogste is.

Best eng spul, hè? Deze potentiële cijfers kregen in de aanloop naar mei 2018 veel publiciteit. A Varonis-enquête uit 2017 bleek dat 75% van de 500 ondervraagde besluitvormers het ermee eens was dat de opgelegde boetes sommige organisaties lam zouden kunnen leggen, en 44% was van mening dat bedrijven de prijzen konden verhogen om zichzelf tegen boetes te beschermen.

GDPR-boetes – niet wat werd verwacht

De grootste ICO-boetes laten zien dat de cijfers van een miljoen pond slechts een paar keer zijn overschreden, waarbij de £ 12.7 miljoen voor TikTok uit april 2023 nu tot de hoogste boetes behoort.

Zijn we in de steek gelaten als we dit verwachtten? GDPR-boetes zo ernstig zijn en dat bedrijven er bang voor zijn? De grootste boete werd in 2019 immers uitgedeeld aan British Airways, met een totaal van £ 183 miljoen vastgesteld toen de persoonlijke gegevens van 500,000 klanten werden gestolen van hun website en mobiele app. Maar ruim een jaar later en na hoger beroep komt dat bedrag toch terug werd verminderd tot £ 20 miljoen. Geen onbelangrijk bedrag, maar wel een bedrag dat de positie van de ICO als toezichthouder zou hebben geschaad.

Nemen bedrijven de AVG serieus, aangezien de verwachte zware boetes niet zijn uitgekomen en aanzienlijke boetes zijn verlaagd? Jonathan Armstrong, partner bij Cordery, is van mening dat CEO's om deze redenen de AVG niet serieus nemen. “Ik denk dat het probleem was dat de AVG in 2018 werd opgeschroefd, waarbij veel niet-gekwalificeerde adviseurs organisaties vertelden dat de sluizen open zouden gaan en dat ze enorme boetes zouden krijgen”, zegt hij.

“Toen dat in 2018 niet gebeurde, ontspande het leiderschap in veel organisaties, dacht dat het allemaal een hype was en besteedde geen aandacht aan kwesties op het gebied van gegevensbescherming. Ik weet dat sommige organisaties als gevolg daarvan AVG-projecten hebben stopgezet.”

Armstrong zegt bij de introductie van GDPR; hij geloofde dat het waarschijnlijk was dat er in het begin geen substantiële boetes zouden volgen, “deels omdat sommige gegevensbeschermingsautoriteiten langere tijd de tijd gaven om de nieuwe wet te laten inwerken, en deels omdat het enige tijd duurt om grote onderzoeken uit te werken. het punt bereiken waarop de DPA een boete kan opleggen.”

Wat vinden de experts echt van de AVG-implementatie?

Om een idee te krijgen van de impact van de AVG hebben we een enquête gehouden onder de National Association of Data Protection Officers (NADPO) leden voor hun mening over deze beweringen. Op de vraag of ze vonden dat de AVG de hype van vóór 2018 had waargemaakt, antwoordde 58 procent van de 62 verzamelde reacties dat dit niet het geval was.

NADPO Jon Baines, voorzitter en DPO bij Mishcon de Reya, is het ermee eens dat de hype zeker het profiel van gegevensbescherming heeft vergroot, maar zegt dat het op sommige gebieden ook tot een overdreven reactie heeft geleid, met enige terugslag.

“Sommige senior leidinggevenden en bestuursleden hebben zich begrijpelijkerwijs afgevraagd of de inspanningen om naleving te bereiken noodzakelijk waren (of nog steeds zijn)”, zegt hij. “Het beste antwoord op dit soort uitdagingen is dat goede compliance bijna altijd in lijn is met goede bedrijfspraktijken – het zou in de overgrote meerderheid van de gevallen tot een win-winsituatie moeten leiden.”

Baines merkt ook op dat, hoewel opeenvolgende commissarissen ons hebben verteld dat handhaving niet alleen maar om boetes gaat, en de huidige commissaris John Edwards zich bijzonder geïnteresseerd heeft getoond in ‘berispingen’, wat een soort ‘zachte handhaving’ is, hij van mening is dat er veel meer nut zou kunnen zijn gemaakt van handhavingsbevelen – dit zijn formele juridische kennisgevingen die organisaties verplichten bepaalde stappen te ondernemen (of ervan af te zien) en waarbij het niet naleven ervan mogelijk een strafbaar feit is.

“Ik denk dat meer gebruik van deze bevoegdheden de aandacht van de directie zou trekken en tegelijkertijd de noodzaak van straffende (of waardeloze) boetes zou vermijden.”

Vooruitkijkend vroegen we de NADPO-leden wat de ICO moet doen om van de AVG het angstaanjagende vooruitzicht te maken dat het ooit was. De NADPO-leden lieten een verscheidenheid aan opmerkingen achter, waarbij ze zeiden dat de ICO “de toepassing ervan moet ondersteunen en inbreuken moet afdwingen”, “duidelijke, consistente, sectorspecifieke richtlijnen moet bieden” en “sancties moet opleggen aan organisaties die zijn gegevensbeschermingsfuncties onderbenutten.”

Er waren ook opmerkingen waarin werd opgeroepen tot actievere handhaving van de ICO, omdat het opleiden van bedrijven essentieel is, “maar wanneer handhaving op de lange termijn een grotere impact zou hebben, ontbreekt het hen momenteel aan geloofwaardigheid.” Een andere opmerking riep de ICO op om klachten over alles te behandelen “en niet alleen over grote datalekken” en om het gebruik van bevoegdheden af te dwingen (niet noodzakelijkerwijs boetes, zoals het verbieden van bedrijven om überhaupt gegevens te verwerken).

Ook wordt er al lang nagedacht over waar het geld naartoe gaat als er een boete wordt betaald. Eén persoon riep op tot de verklaring van hoeveel geld een boete zou zijn geweest, maar dringt er vervolgens op aan dat de organisatie dat geld moet besteden aan het herstellen van de fouten “zodat van de organisatie niet wordt verwacht dat ze verbeteringen doorvoert terwijl ze ook over minder middelen beschikt, maar de dreiging van iemand die binnenkomt en ‘je geld afpakt’ (zodat je het niet kunt uitgeven zoals je wilt) is er.”

De rol van de ICO

In een recente toespraak Tijdens de IAPP Data Protection Intensive UK zei Information Commissioner John Edwards dat het van cruciaal belang is dat de toezichthouder laat zien dat het niet naleven van gegevensbescherming niet winstgevend is. “Misbruik maken van de informatie van uw klanten om een commercieel voordeel ten opzichte van anderen te verkrijgen zal door mijn kantoor altijd negatief worden beoordeeld, en we zullen proberen boetes op te leggen die evenredig zijn aan de onrechtmatig verkregen winsten die worden behaald door niet-naleving.”

De 2021-22 jaarverslag van de ICO zei dat de focus ligt op het ondersteunen van organisaties om aan hun wettelijke vereisten te voldoen. “Wij richten onze regelgevende maatregelen op gebieden waar slechte praktijken op het gebied van gegevensbescherming de grootste impact hebben op mensen. We gebruiken onze handhavingsbevoegdheden alleen waar dat nodig is en altijd op een proportionele manier.”

We hebben contact opgenomen met de ICO voor een direct antwoord, maar hadden op het moment van publicatie nog geen antwoord ontvangen.

Kijkend naar de komende vijf jaar AVG

Armstrong zegt dat er het afgelopen jaar sprake is geweest van een substantiële stijging van de AVG-boetes, “zodat er nu meer dan 2000 boetes zijn opgelegd en dat er ruim € 2.6 miljard aan boetes wordt opgelegd.” Hij zegt ook dat we zien dat gegevensbeschermingsautoriteiten hun bevoegdheden creatiever gebruiken – bijvoorbeeld met de opschorting van de verwerking voor Replika AI en ChatGPT.

“Het gaat dus niet alleen om de boete, en deze schorsingen kunnen ook bedrijfskritisch zijn – je zult zien hoe de CEO van OpenAI alles liet vallen om na de schorsing met de Italiaanse DPA te praten. Ik denk dus dat de moeilijkheid voor veel organisaties is dat ze naar het verleden kijken in plaats van naar het heden.”

De uitrol van de AVG duurde lang en zorgde ervoor dat bedrijven hun huis op orde konden krijgen voor deze verordening inzake gegevensbescherming. Als CEO's dit serieus zouden nemen, zouden minder sensationele krantenkoppen misschien een goede zaak zijn, net als meer nadruk op het ondersteunen en mogelijk maken van bedrijven die falen.

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 29 May 2025

Cybersecurity en privacy van io-nist krijgen facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Heeft dit voordelen voor de praktijk?

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood