De AVG in 2025: waar staan we?

De afgelopen jaren heeft de Autoriteit Persoonsgegevens (AP) haar handhavingsbeleid aangescherpt. In 2025 stijgt het aantal boetes voor organisaties die de regels niet naleven. Een paar voorbeelden hiervan zijn:

• Onvoldoende beveiliging van persoonsgegevens: Het HagaZiekenhuis kreeg in 2019 een boete van €460.000 vanwege onvoldoende interne beveiligingsmaatregelen. Daardoor hadden medewerkers zonder behandelrelatie toegang tot medische dossiers.
• Onrechtmatige verwerking van persoonsgegevens: De Koninklijke Nederlandse Lawn Tennis Bond (KNLTB) werd in 2020 beboet met €525.000 voor het verkopen van persoonsgegevens van leden, aan sponsoren zonder geldige grondslag.
• Te late melding van datalekken: Booking.com ontving in 2021 een boeten van €475.000 omdat zij een datalek te laat aan de AP meldden. De melding kwam 22 dagen na de wettelijke termijn van 72 uur.

Met de steeds verdere opkomst van kunstmatige intelligentie (AI) en geavanceerde data-analyse zijn er nieuwe vraagstukken rondom privacy. Hoe gaan bedrijven om met geautomatiseerde besluitvorming? Mag AI zomaar persoonsgegevens verwerken? De AVG eist dat AI-systemen transparant en uitlegbaar zijn. In 2025 zien we strengere regels voor AI-gebruik, waarbij bedrijven verplicht zijn om verantwoording af te leggen over hoe zij persoonsgegevens verwerken. Zo gelden strengere eisen, zoals risicobeoordeling en transparantie, voor alle gebruikte AI-systemen. Voor hoogrisico-AI komen daar aanvullende verplichtingen bij. Zoals kwaliteitsbeheer op data, logging van input, output en beslissingen, en actieve monitoring van prestaties en risico's. Daarnaast zijn er eisen en regels rondom AI-geletterdheid: het begrijpen van AI, ermee kunnen werken en het beoordelen van AI-toepassingen. Organisaties moeten zorgen voor een toereikend niveau van AI-geletterdheid bij werknemers die AI-systemen gebruiken of ontwikkelen.

Het versturen van persoonsgegevens buiten de EU vraagt extra voorzichtigheid. Sinds 2020 mogen bepaalde gegevens niet zomaar naar de VS, omdat daar mogelijk toegang is voor inlichtingendiensten. Organisaties moeten daarom veilige afspraken maken, gegevens versleutelen en waar mogelijk Europese cloudoplossingen gebruiken. Zo blijven gegevens beschermd en voldoen ze aan de privacyregels. Leuk feitje: dit alles kwam door het Schrems II-arrest, waarbij het Europese Hof van Justitie het Privacy Shield ongeldig verklaarde.

Vijf jaar geleden hielden veel organisaties zich vooral op papier aan de AVG. In de praktijk was privacy echter nog geen vast onderdeel van de dagelijkse werkzaamheden. Burgers zijn zich intussen bewuster van hun rechten en maken vaker gebruik van het recht op inzage, correctie en verwijdering van gegevens. 

Om hierop in te spelen, moeten organisaties hun privacybeleid toegankelijker maken. Een goed voorbeeld hiervan is hoe sommige bedrijven een gebruiksvriendelijk privacyportaal aanbieden. Hier kunnen gebruikers met één klik:

• Inzageverzoeken indienen en direct hun gegevens downloaden
• Ongebruikte accounts verwijderen en persoonsgegevens wissen
• Privacy-instellingen aanpassen, zoals het intrekken van marketingtoestemmingen

Door deze aanpak wordt privacy geen complexe juridische kwestie, maar een duidelijk en laagdrempelig proces voor gebruikers. Vanuit IV experts ondersteunen we organisaties bij het formuleren en implementeren van de rechten van betrokkenen. Voor veel organisaties is een privacyportaal nog ver van hun bedshow, maar met simpele, vooraf ingerichte processen kunnen zij snel en efficiënt handelen zodra een burger zijn of haar recht uitoefent, zonder op het moment zelf te hoeven bedenken wat er moet gebeuren.

Voor organisaties betekent dit dat zij hun beleid en processen regelmatig moeten herzien. Enkele belangrijke stappen om AVG-proof te blijven:

• Regelmatige audits: Controleer periodiek of je voldoet aan de laatste regelgeving.
• Privacy by design: Integreer privacybescherming vanaf het begin in nieuwe systemen en processen.
• Bewustwordingstrainingen: Zorg dat medewerkers up-to-date blijven over AVG-richtlijnen.
• Goede documentatie: Houd een register bij van dataverwerkingen en verwerkingsgrondslagen.
• Rechten van betrokkenen: Zorg dat procedures bestaan om verzoeken van betrokkenen, zoals inzage, correctie of verwijdering van gegevens, correct en tijdig af te handelen.
• DPIA’s (Data Protection Impact Assessments): Voer privacytoetsen uit bij systemen en processen waarin persoonsgegevens worden verwerkt om risico’s te identificeren en te mitigeren.