De AVG staat voor Algemene Verordening Gegevensbescherming. Het is een wet die sinds 2018 geldt voor alle bedrijven in Nederland die data verwerken. De AVG is de Nederlandse afgeleide van de GDPR (General Data Protection Regulation), de Europese privacywetgeving. De wet verplicht bedrijven op een verantwoorde manier om te gaan met persoonsgegevens. Dit geldt voor zowel klantgegevens als gegevens van medewerkers.
Je mag volgens de richtlijnen van de AVG persoonsgegevens verwerken als:
*Let op, je hebt altijd toestemming nodig van de persoon van wie je gegevens verwerkt.
Met de AVG wordt het bedrijven verplicht om op verantwoorde wijze om te gaan met klantdata. Dat wil zeggen, een bedrijf zal er alles aan moeten doen om deze gegevens binnenshuis te houden en te zorgen dat de data alleen toegankelijk is voor personen die deze beroepshalve nodig hebben. Daarnaast is de onderneming verplicht om de personen van wie data wordt verwerkt op de hoogte hiervan te brengen.
Even op een rijtje:
De persoonsgegevens die worden verwerkt moeten in overeenstemming zijn met de wet. Het moet voor de betrokkene (degene van wie de persoonsgegevens worden verwerkt) behoorlijk en transparant zijn op welke manier en waarom die gegevens verwerkt worden.
Het moet voor de persoon wiens gegevens worden verzameld duidelijk zijn wat het doel van het verwerken is. Dit doel met verenigbaar zijn met het doel waarmee de gegevens zijn verzameld.
Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.
De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
De bewaking van het naleven van de regels rondom AVG ligt in handen van de Autoriteit Persoonsgegevens (AP). De AP kan diverse maatregelen nemen tegen bedrijven die de AVG niet op orde hebben, of te maken hebben gehad met een incident waarbij de AVG regels zijn overtreden. Als bijvoorbeeld een datalek heeft plaatsgevonden, zal de AP hier maatregelen tegen treffen. Een overzicht van de mogelijkheden:
De AP kan boetes opleggen aan bedrijven die tekort zijn geschoten in het beschermen van persoonsgegevens. Deze boetes kunnen oplopen tot €20 miljoen of 4% van de omzet. Over het algemeen gaat de AP over tot het uitdelen van een boete, wanneer onomstotelijk is bewezen dat de verwerkingsverantwoordelijke nalatig met persoonsdata is omgesprongen en dit voorkomen had kunnen worden.
De last onder dwangsom is een sanctie die de AP oplegt aan bedrijven waarvan zij weet dat zij de regels rondom de AVG overtreden als zij niet snel aanpassingen doen in hun manier van data verwerken. Dit gebeurt vaak bij bedrijven waarbij de AP heeft gezien dat er fouten worden gemaakt en dat herhalingsfouten op de loer liggen. De AP kan een bedrijf bijvoorbeeld een dwangsom opleggen voor iedere week dat het bedrijf nog klantdata opvraagt, die onnodig is voor het doel.
Een vrij rigoureuze sanctie is het verwerkingsverbod. Dit houdt dat de AP een bedrijf verbiedt om (bepaalde) persoonsdata te verwerken. In veel gevallen is dit funest voor bedrijven die klantdata nodig hebben voor hun marketingactiviteiten. Op het moment dat een bedrijf zich niet houdt aan het verwerkingsverbod volgen uiteraard boetes.
In het meest gunstige geval, kom je er vanaf met een berisping of waarschuwing. Deze maatregel kost je niet direct geld, maar kan op lange termijn wel voor problemen zorgen. Zo zal een bedrijf dat een berisping heeft gehad wel onder een vergrootglas liggen bij de AP.
In het afgelopen jaar heeft de AP verschillende bedrijven beboet die zich niet hebben gehouden aan de regels van de AVG. We lichten er enkele uit:
Om AVG proof te werken hoef je het wiel niet opnieuw uit te vinden. Er zijn stappenplannen om jouw onderneming AVG proof te maken. Omdat de Autoriteit Persoonsgegevens een voorname rol heeft bij het toezicht houden, is de checklist dat zij beschrijven een goede basis. Deze checklist is een handige tool voor startende ondernemers, maar ook partijen die al wat langer gegevens verwerken. AVG is namelijk een continue proces.
Hulp nodig? Neem contact met ons op.
Copyright © Perfect Day | Privacyverklaring | Voorwaarden voor dienstverlening | Cookiebeleid