Is jouw onderneming AVG gereed?
Elke onderneming, Instelling of vereniging dat persoonsgegevens verwerkt, moet zich houden aan de regels die de Algemene Verordening Gegevensbescherming (AVG) voorschrijft.
Onder het “verwerken van persoonsgegevens” valt niet alleen het “opslaan”, maar ook het gebruiken, analyseren, combineren of verwijderen. Onder persoonsgegevens vallen “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Naast naam- en adresgegevens betreft het dus ook bijvoorbeeld het ip adres, klantprofielen, klikgedrag en medische data.
Bedrijven hebben net als onder de aan de AVG voorgaande Wpb een rechtmatige grondslag nodig om persoonsgegevens te mogen verwerken. De betrokkene moet daarbij toestemming geven voor de verwerking van zijn persoonsgegevens of de verwerking moet noodzakelijk zijn voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is.
Wat gebeurt er als jouw onderneming nu nog steeds niet voldoet aan de regels?
De AVG is al per mei 2016 in werking, maar is pas op 25 mei 2018 daadwerkelijk van kracht gegaan. Op deze wijze hadden ondernemingen, organisaties en verenigingen voldoende tijd om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Vanaf mei 2018 is de Autoriteit Persoonsgegevens (AP) ondernemingen op de vingers gaan tikken die niet compliant zijn met de AVG.
De AVG kent twee categorieën overtredingen:
1. overtredingen die zien op fundamentele verplichtingen
Wanneer een verwerkingsverantwoordelijke of verwerker een overtreding begaat van fundamentele verplichtingen uit de AVG dan kan deze worden bestraft met een boete van de hoogste categorie. Te denken valt aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op het verwijderen van gegevens en het recht op dataportabiliteit. Ook overtreding van de volgende punten valt onder deze categorie:
- Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming;
- Doorgeven van persoonsgegevens aan een derde land (buiten de EER) en internationale organisaties;
- Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht;
- Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting.
Overtredingen van deze categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet.
2. Overtredingen op meer administratief georiënteerde verplichtingen.
De meeste andere overtredingen kunnen worden bestraft met een boete van het”lagere” tarief. Dit geldt onder andere voor het niet voldoen aan de onderstaande onderwerpen die volgen uit de AVG:
- Toestemming van een kind voor diensten van de informatiemaatschappij;
- Privacy by design and default;
- Aanstelling van de privacy officer / functionaris gegevensbescherming;
- Melden van datalekken aan de “Autoriteit Persoonsgegevens” (AP) en de betrokkene;
- Privacy Impact Assessment;
- Genomen beveiligingsmaatregelen.
Voor deze categorie is de boete maximaal € 10.000.000,- of 2% van de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum.
Overwegingen bij het opleggen van een geldboete
Uit de AVG volgt verder dat een toezichthouder zorgvuldig moet afwegen of het opleggen van een geldboete passend (doeltreffend, evenredig en afschrikkend) is voor de overtreding. Wanneer het gaat om een kleine inbreuk kan ook gekozen worden voor een berisping. mogen naar eigen inzicht hun boetebeleid opstellen. De toezichthouder moet in zijn afweging (wel of geen boete en de hoogte van deze) in ieder geval rekening te houden met de volgende overwegingen:
- De aard, de ernst en de duur van de inbreuk. Daarbij wordt gekeken naar het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
- Of de verwerkingsverantwoordelijke of verwerker opzettelijk of nalatig handelde;
- De maatregelen die zijn genomen om de schade te beperken;
- Eerdere inbreuken door de verwerkingsverantwoordelijke of verwerker;
- In hoeverre medewerking is verleend aan de toezichthouder om de inbreuk te verhelpen en de schade te beperken;
- Welke categorie van persoonsgegevens het betreft;
- Hoe de toezichthouder op de hoogte is geraakt van de inbreuk, met name of de verwerkingsverantwoordelijke of verwerker zelf melding heeft gedaan;
- Naleving van een eerder opgelegde corrigerende maatregel;
- Of de verwerkingsverantwoordelijke of verwerker aangesloten is bij goedgekeurde gedragscodes of certificeringsmechanismen;
- Andere verzwarende of verzachtende factoren.
Welke maatstaf de “Autoriteit Persoonsgegevens” (AP) zal hanteren bij het opleggen van geldboetes moeten nog blijken. De verwachting is in ieder geval dat de AVG streng gehandhaafd zal worden. Zorg er daarom voor dat u goed voorbereid bent!