Artikel 8 september 2022

Uitvoeringswet AVG blijkt lege huls

Rol AP-voorzitter Aleid Wolfsen kwestieus

De Uitvoeringswet AVG (UAVG), de Nederlandse aanvulling op de Algemene Verordening Persoonsgegevens (AVG), heeft nauwelijks toegevoegde waarde. Dat is te wijten aan het gebrek aan verdere invulling van de open normen in de UAVG, met als resultaat een onduidelijke uitvoeringspraktijk.

Dat blijkt uit een evaluatieonderzoek naar de uitvoering van de UAVG door Pro Facto en Hooghiemstra & Partners. Opdrachtgever was het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC).

De AVG gaat uit van open normen, zoals noodzakelijkheid en proportionaliteit. Deze normen zijn grotendeels een voortzetting van regelgeving die er voor de AVG ook al was. Via de UAVG heeft Nederland de ruimte om op bepaalde punten meer specifieke nationale regelingen te treffen. Maar een verdere concretisering en specifieke invulling van de normen bleef achterwege. Ook heeft per branche amper een operationalisering van normen plaatsgevonden nu de gedragscode als instrument nauwelijks van de grond komt.  

In het evaluatieonderzoek krijgt ook de Autoriteit Persoonsgegevens (AP) de nodige kritiek. Deze toezichthouder richt zich bij het toezicht vooral op partijen die datalekken wel melden. Hierdoor lijken niet-melders min of meer vrij spel te hebben. Volgens Hans Kortekaas, CEO ID Control (privacy en security) kan dat ertoe leiden dat potentiële melders eerder terughoudend worden om te melden. De onderzoekers dringen daarom aan op intensivering van het toezicht op niet-melders.

Opmerkelijk is dat de AP juist in gevallen waarin wel is gemeld, forse boetes oplegt. Bij het vaststellen van boetes houdt de toezichthouder ook helemaal geen rekening met de snelheid waarmee datalekken worden opgelost. Het tijdig melden blijkt evenmin een verlagende factor..

Lees het volledige artikel op computable.nl

Ook interessant