JavaScript is not enabled in your browser.

Wat is de AVG?

Wat houdt de AVG in het kort in?


De AVG staat voor Algemene Verordening Gegevensbescherming. Het is een wet die sinds 2018 geldt voor alle bedrijven in Nederland die data verwerken. De AVG is de Nederlandse afgeleide van de GDPR (General Data Protection Regulation), de Europese privacywetgeving. De wet verplicht bedrijven op een verantwoorde manier om te gaan met persoonsgegevens. Dit geldt voor zowel klantgegevens als gegevens van medewerkers. 


Je mag volgens de richtlijnen van de AVG persoonsgegevens verwerken als:


 

  • Die nodig zijn om een overeenkomst uit te voeren;
  • Je dit wettelijk verplicht bent;
  • Je vitale belangen te beschermen hebt;
  • Deze nodig zijn om een taak van algemeen belang of openbaar gezag uit te oefenen;
  • Je daarmee je gerechtvaardigde belang behartigt


*Let op, je hebt altijd toestemming nodig van de persoon van wie je gegevens verwerkt.

 

Wat betekent de AVG voor bedrijven? 

 

Met de AVG wordt het bedrijven verplicht om op verantwoorde wijze om te gaan met klantdata. Dat wil zeggen, een bedrijf zal er alles aan moeten doen om deze gegevens binnenshuis te houden en te zorgen dat de data alleen toegankelijk is voor personen die deze beroepshalve nodig hebben. Daarnaast is de onderneming verplicht om de personen van wie data wordt verwerkt op de hoogte hiervan te brengen.  

Even op een rijtje:

 

Wettelijk


De persoonsgegevens die worden verwerkt moeten in overeenstemming zijn met de wet. Het moet voor de betrokkene (degene van wie de persoonsgegevens worden verwerkt) behoorlijk en transparant zijn op welke manier en waarom die gegevens verwerkt worden. 
 


Transparant


Het moet voor de persoon wiens gegevens worden verzameld duidelijk zijn wat het doel van het verwerken is. Dit doel met verenigbaar zijn met het doel waarmee de gegevens zijn verzameld. 
 


Inzichtelijk


Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
 


Het strikt noodzakelijke


Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.
 


Actueel


De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
 


Veilig


De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

 

Wat zijn de consequenties van geen AVG hebben?

 

De bewaking van het naleven van de regels rondom AVG ligt in handen van de Autoriteit Persoonsgegevens (AP). De AP kan diverse maatregelen nemen tegen bedrijven die de AVG niet op orde hebben, of te maken hebben gehad met een incident waarbij de AVG regels zijn overtreden. Als bijvoorbeeld een datalek heeft plaatsgevonden, zal de AP hier maatregelen tegen treffen. Een overzicht van de mogelijkheden:

 

Boetes


De AP kan boetes opleggen aan bedrijven die tekort zijn geschoten in het beschermen van persoonsgegevens. Deze boetes kunnen oplopen tot €20 miljoen of 4% van de omzet. Over het algemeen gaat de AP over tot het uitdelen van een boete, wanneer onomstotelijk is bewezen dat de verwerkingsverantwoordelijke nalatig met persoonsdata is omgesprongen en dit voorkomen had kunnen worden. 

 

Dwangsom


De last onder dwangsom is een sanctie die de AP oplegt aan bedrijven waarvan zij weet dat zij de regels rondom de AVG overtreden als zij niet snel aanpassingen doen in hun manier van data verwerken. Dit gebeurt vaak bij bedrijven waarbij de AP heeft gezien dat er fouten worden gemaakt en dat herhalingsfouten op de loer liggen. De AP kan een bedrijf bijvoorbeeld een dwangsom opleggen voor iedere week dat het bedrijf nog klantdata opvraagt, die onnodig is voor het doel.  
 


Verwerkingsverbod


Een vrij rigoureuze sanctie is het verwerkingsverbod. Dit houdt dat de AP een bedrijf verbiedt om (bepaalde) persoonsdata te verwerken. In veel gevallen is dit funest voor bedrijven die klantdata nodig hebben voor hun marketingactiviteiten. Op het moment dat een bedrijf zich niet houdt aan het verwerkingsverbod volgen uiteraard boetes. 
 


Waarschuwing of berisping


In het meest gunstige geval, kom je er vanaf met een berisping of waarschuwing. Deze maatregel kost je niet direct geld, maar kan op lange termijn wel voor problemen zorgen. Zo zal een bedrijf dat een berisping heeft gehad wel onder een vergrootglas liggen bij de AP. 
 


Overzicht boetes afgelopen jaar

 

In het afgelopen jaar heeft de AP verschillende bedrijven beboet die zich niet hebben gehouden aan de regels van de AVG. We lichten er enkele uit:

 

  • De belastingdienst ontving een boete van 3,7 miljoen euro, vanwege jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV). Dit was een zwarte lijst waar personen op terecht kwamen die al dan niet terecht verdacht werden voor belastingfraude. Met als gevolg dat zij niet meer in aanmerking komen voor kwijtschelding of een betalingsregeling. De boete is verreweg de grootste die de AP ooit heeft opgelegd.  
  • DPG Media (onder andere AD en NU.nl) kreeg een boete van 525 duizend euro voor het onrechtmatig opvragen van identiteitsbewijzen, wanneer mensen hun bij hen bekende gegevens wilden veranderen of verwijderen. Deze zaak kreeg aandacht toen verschillende personen een klacht indienden over de gang van zaken en toen zij reclame ontvingen van andere merken van DPG dan waar zij lid van waren.
  • Een orthodontiepraktijk ontving een boete van 10 duizend euro omdat nieuwe cliënten zich moesten aanmelden via een onbeveiligde website. Hierdoor liepen zij kans dat hun persoonsgegevens zoals BSN en adres in criminele handen zouden vallen. 


Hoe zorg je ervoor dat je AVG proof bent?

 

Om AVG proof te werken hoef je het wiel niet opnieuw uit te vinden. Er zijn stappenplannen om jouw onderneming AVG proof te maken. Omdat de Autoriteit Persoonsgegevens een voorname rol heeft bij het toezicht houden, is de checklist dat zij beschrijven een goede basis. Deze checklist is een handige tool  voor startende ondernemers, maar ook partijen die al wat langer gegevens verwerken. AVG is namelijk een continue proces. 

 

  1. Heb je zicht op al je verwerkingen? Worden er bijvoorbeeld geen gegevens verwerkt die geschaard worden onder de noemer 'bijzondere persoonsgegeven'? 
  2. Heeft jouw bedrijf een grondslag? Als er namelijk gegevens verwerkt worden die niet langer noodzakelijk zijn voor de uitvoering van een overeenkomst, dan mag je je niet meer beroepen op de grondslag.
  3. Zijn nieuwe medewerkers zich ook bewust van de regels? Ter illustratie, een nieuw marketeer kan waarschijnlijk eenvoudig bij een klantenbestand. Maar wat de nieuwe marketeer hiermee mag doen, moet wel duidelijk zijn.
  4. Kunnen mensen bij jouw bedrijf eenvoudig hun privacyrechten uitoefenen? Krijgt iemand van wie gegevens verwerkt worden, een snel en eenduidig antwoord als deze vraagt naar welke gegevens van hem/haar worden opgeslagen?
  5. Zijn de verwerkingsregisters nog up-to-date? Deze registers zijn verplicht en onderdeel van de verantwoordingsplicht
  6. Heb je gecheckt of je een DPIA moet uitvoeren. Soms is een zogenaamde Data Protection Impact assessment nodig omdat de data die verwerkt wordt een hoog risico voor de betreffende personen oplevert. 
  7. Werkt jouw bedrijf volgens privacy by design and default? Dit houdt in dat je bijvoorbeeld bij apps en standaardinstellingen in je website rekening houdt met het belang van de bezoeker en er geen standaardinstellingen zijn die de privacy in gevaar brengen. 
  8. Heeft jouw bedrijf een verantwoordelijke voor de gegevensbescherming of een privacy contactpersoon? Dit is in veel gevallen niet verplicht maar wel raadzaam
  9. Check hoe jouw bedrijf omgaat met een datalek. Hoe snel kan er geschakeld worden met de juiste instanties? 
  10. In geval van uitbestede gegevensverwerking, ga na of deze partij alle regels van de AVG naleeft. Zo niet, dan is het raadzaam om een verwerkersovereenkomst op te stellen. 


Hulp nodig? Neem contact met ons op.

Onze website gebruikt cookies om de gebruikerservaring te verbeteren. Meer informatie