“Gaan er direct boetes vallen als de organisatie nog niet voldoet aan de AVG?”

Binnen een aantal dagen is de Algemene verordening gegevensbescherming van toepassing. De twee jaar waarin organisaties de tijd hadden om te voldoen aan de wetgeving, lijken voorbij gevlogen. Veel organisaties zijn goed aan de slag gegaan met de complexe wetgeving. Er zijn ook organisaties die het belang van de wetgeving goed inzien, maar nog niet voldoen aan de gehele wetgeving. Een vraag die nu veel speelt bij organisaties is: ‘Gaan er direct boetes vallen als de organisatie nog niet 100% voldoet?’.

Aleid WolfsenUit interviews met Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), blijkt dat de AP een redelijk toezichthouder is. Kleine organisaties of verenigingen gaan ze niet direct hard aanpakken. Ze gaat zich vooral focussen op de grote organisaties met meer dan 250 medewerkers. Deze organisaties zijn namelijk verplicht om een privacy-medewerker in dienst te hebben. Voorbeelden hiervan zijn gemeenten, ziekenhuizen, politie. 

Aleid Wolfsen geeft aan dat organisaties die gemakzuchtig omgaan met de privacywetgeving, daar niet mee wegkomen. Een voorbeeld van gemakzuchtig zijn, is wanneer een organisatie geen bewaartermijnen heeft ingesteld. Daarbij moeten organisaties bij inspectie duidelijk hun mate van compliancy kunnen aantonen, en dat ze kunnen laten zien dat ze zich serieus bezighouden met de AVG. Zoals eerder gezegd: de AP wil zich een redelijk toezichthouder tonen, en zal niet direct boetes uit gaan delen als de organisatie nog niet klaar is, maar wel op de goede weg is. Zijn specifieke advies: "Beredeneer waarom je iets doet, leg het vast en zorg dat je gegevens beveiligd zijn zodat er geen kans is op een datalek". 

Mensen kunnen vanaf 25 mei een privacy-klacht bij de AP indienen. Ze is verplicht iedere klacht in behandeling te nemen. Een klacht kan bijvoorbeeld gaan over het feit dat de organisatie een klant geen inzage geeft in haar gegevens of dat de organisatie geen gehoor geeft aan het recht om vergeten te worden.  

Handhaving

De Autoriteit Persoonsgegevens geeft nadrukkelijk aan dat sanctie geen doel op zich is. Het is hun doel dat de persoonsgegevens van iedereen goed beschermd worden en dat privacy-schendingen zo snel mogelijk stoppen. Ze kijkt per casus welk handhavingsmiddel het best past. Dat is de ene keer een interventie middels een brief of telefoontje, maar de andere keer een boete. Een boete kan flink oplopen: maximaal 4 procent van de jaaromzet of twintig miljoen euro van de wereldwijde omzet. Het is echter aan de AP om te bepalen hoe hoog de boetes zullen zijn. Het opleggen van boetes door de AP is laagdrempeliger onder de AVG dan onder de Wbp: ze hoeft nu niet meer te bewijzen dat er opzet in het spel is. 

Zorg ervoor dat de organisatie dit snel in orde heeft

Naar aanleiding van de uitspraken van Aleid Wolfsen, raden we aan dat de organisatie de volgende zaken zo snel mogelijk op orde heeft:

  • Denk goed na over welke informatie de organisatie voor hoe lang wilt bewaren – en waarom. Vergeet daarbij niet om een vernietigingsbeleid op te stellen. Leg alles omtrent het bewaren en vernietigen vast in een document en implementeer het binnen de organisatie.
  • Een strak stappenplan over hoe de organisatie gaat voldoen aan de wet. Zorg ervoor dat deze ook zo up-to-date mogelijk is: waar staat de organisatie nu en wat moet er nog gebeuren?
  • Zorg voor bewustzijn bij de medewerkers. Zij zijn namelijk een groot risico wanneer het gaat om informatie. Denk aan de gevaarlijke phishingmails, privacygevoelige telefoongesprekken en het laten slingeren van apparaten met gevoelige data.
  • Is de organisatie ontzettend goed op weg – maar mist er een manier om dat aan te tonen? Een oplossing hiervoor is uiteraard om alles in Excel netjes bij te houden. Wij raden echter aan om alle informatie te borgen in het AVG-framework, dat we in Mavim gebouwd hebben. Dit framework biedt niet alleen veel inzicht in de wet, wat er moet gebeuren en wat de status is. Het is ook een gemakkelijk middel waarbij de organisatie zich heel gemakkelijk kan verantwoorden naar de AP en andere partijen.

De AP gaat dus niet vanaf 25 mei met boetes strooien. Wel is het belangrijk dat de organisatie er goed mee bezig is. Daarbij: met de privacy op orde zorgt voor tevreden medewerkers en klanten. Dat is waar de organisatie het voor doet.

Helpdesk

Uiteraard kunnen we u compleet helpen met de Algemene verordening gegevensbescherming. Voorbeelden hiervan zijn het opstellen van bewaartermijnen, het uitvoeren van een Nulmeting (inclusief stappenplan) en het uitzetten van een Awarenesscampagne voor het creëren van bewustzijn bij medewerkers. Waar we veel organisaties blij mee maken, is onze Helpdesk. Het geeft mensen een gevoel van rust dat ze te allen tijde hun vragen bij ons kunnen stellen. Denk bijvoorbeeld aan vragen over datalekken en het verstrekken van persoonsgegevens. Onze in-house privacy-juristen helpen u verder!

Bron: NOS en ICT Magazine