De AVG, hoe zit het nu eigenlijk?

De AVG, hoe zit het nu eigenlijk?

Sinds 2018 geldt de Algemene Verordening Gegevensbescherming (AVG), waarin is vastgelegd wat je als organisatie moet doen om de gegevens van klanten én medewerkers te beschermen. Tot op de dag van vandaag krijgen we veel vragen over de AVG, zeker als het om verantwoordelijkheden gaat.

In het jaarverslag 2020 van de Autoriteit Persoonsgegevens – die de AVG handhaaft – is te lezen dat de AP in 2020 zeven boetes heeft opgelegd, met een waarde van in totaal 2 miljoen euro. In 2019 werden er vier boetes uitgedeeld, ter waarde van ruim 2,5 miljoen euro. Eén sanctie uit 2020 is openbaar gemaakt; een boete van 475.000 euro voor Booking.com wegens het te laat melden van een datalek. De andere boetes zijn (nog) niet openbaar, in verband met bezwaarprocedures. Zo heeft een bedrijf dat in 2019 een boete van ruim 7 ton opgelegd kreeg, omdat het onterecht vingerafdrukken van medewerkers opsloeg, bij de rechter bedongen dat de naam van het bedrijf niet gepubliceerd werd.

Veel kleinere ondernemingen denken vaak dat boetes alleen aan grote bedrijven of instellingen worden opgelegd. Niets is minder waar. Onlangs kreeg de PVV-afdeling in Overijssel een boete omdat een datalek überhaupt niet was aangemeld en kreeg een mkb-bedrijf uit Best een boete omdat het de aard en oorzaak van ziekteverzuim van medewerkers in een bestand bijhield op Google Drive, waar mensen heel eenvoudig toegang tot hadden.

Je bent zelf verantwoordelijk

Een van de meest gestelde vragen over de AVG die wij vaak te horen krijgen, gaat over verantwoordelijkheid. Zeker als een bedrijf met een ‘gegevensverwerker’ werkt: een derde partij die bijvoorbeeld je boekhouding doet of een clouddienst levert waar persoonsgegevens zijn opgeslagen. De vraag die veel leeft, is: Wie is er verantwoordelijk als er iets mis gaat? Dat antwoord is heel simpel: jij! Jij bent altijd verantwoordelijk voor de persoonsgegevens die jij als verwerkingsverantwoordelijke verzamelt van zowel klanten als van medewerkers. Ook als een andere partij -de verwerker- ze voor jou verwerkt. Mocht er een datalek bij die partij ontstaan, dan ben ook jij verplicht om dit binnen 72 uur na ontdekking te melden bij de AP. Het is bovendien verplicht dat een verwerkingsverantwoordelijke en een verwerker samen een verwerkersovereenkomst afsluiten. Doen zij dat niet? Dan zijn beide partijen in overtreding.

Een andere vraag die regelmatig gesteld wordt, gaat over de Data Protection Officer of Functionaris Gegevensbescherming. Wanneer moet je zo iemand aanstellen? Het antwoord: Als je regelmatig en stelselmatig, op grote schaal (bijzondere) gegevens verzamelt. ‘Op grote schaal’ betekent de gegevens van 10.000 of meer personen.

Advies

Wij merken dat bij kleinere organisaties de kennis over de AVG en de verplichting die daarbij horen beperkt is. Terwijl de boetes erg hoog zijn als je niet aan de AVG voldoet. Die kunnen oplopen tot maximaal 20 miljoen euro of 4% van de totale omzet. Wij kunnen je helpen om de AVG na te leven. Wij kunnen je ook adviseren over hoe je zowel technisch als organisatorisch aan de AVG kunt voldoen. Wil je weten of in jouw organisatie de AVG goed wordt nageleefd of wil je meer weten over de verantwoordelijkheden die je als bedrijf hebt als je met gegevensverwerkers werkt? Schrijf je in op onze nieuwsbrief, of neem contact op.