De AVG is van kracht … en nu?

Weet u het nog? De bombarie rondom de invoering van de AVG? Vanaf 25 mei 2018 moest elke organisatie deze strenge privacywetgeving naleven. Anders volgden zware boetes. Zoals zo vaak wordt ook deze soep niet zo heet gegeten als opgediend en valt het met de controles van de Autoriteit Persoonsgegevens (AP) nogal mee. Zo beperken willekeurige steekproeven bij 30 grote organisaties zich tot het al dan niet hebben van een verwerkingsregister. Maar dat betekent niet dat u de AVG niet serieus moet nemen.

De AVG … hoe zat het ook weer?

25 Mei 2018 werd in heel de EU de Algemene Verordening Gegevensbescherming (AVG) van kracht. Sindsdien geldt deze wet in de hele EU, dus ook in Nederland. De AVG zorgt voor versterking en uitbreiding van privacyrechten. Daarnaast geeft het iedere organisatie meer verantwoordelijkheden en hebben alle Europese privacytoezichthouders voortaan dezelfde, krachtige bevoegdheden. Voor schending van de verplichtingen kunnen ze boetes tot zelfs 20 miljoen euro opleggen.

Staar u niet blind op de boete, u kunt ook aangeklaagd worden

Het verschil tussen de urgentie waarmee de AVG-wetgeving vanaf begin dit jaar werd geïntroduceerd en de mediastilte bij de al minimale controles van nu is groot. Zo groot dat je je afvraagt of het wel zin heeft om al die strenge richtlijnen op te volgen. De AVG lijkt een beetje een tandeloze tijger. De AP geeft ook zelf aan dat het uitdelen van sancties geen doel op zich is. Zij is er vooral ook om organisaties te helpen met het nemen van de verplichte technische en organisatorische maatregelen. Dat betekent echter niet dat u rustig achterover kunt leunen. Want ook al ontloopt u een boete, u kunt nog steeds aansprakelijk worden gesteld door een persoon wiens privacy is geschonden door uw nalatigheid op het gebied van technische en organisatorische maatregelen.

5 Misverstanden over de AVG

Staar u dus niet blind op de boete, maar blijf de AVG-wetgeving wel serieus nemen. Op elk vlak. Ook een rechtszaak kan u immers duur komen te staan. Maak daarom meteen korte metten met de volgende hardnekkige misverstanden.

  1. Wij hebben minder dan 250 medewerkers, dus we hoeven niet aan de AVG te voldoen. Groot of klein: elk bedrijf moet zich houden aan de bepalingen van de AVG. Daarnaast dienen bedrijven die gevoelige informatie verwerken, zoals in de zorg- en verzekeringswereld, een verwerkingsregister bij te houden.
  2. Wij verwerken geen consumentengegevens. De AVG dient ter bescherming van de gegevens van alle burgers. Daar horen de persoonsgegevens van uw medewerkers, klanten en partners dus ook bij.
  3. Doordat persoonsgegevens binnen de EU/EER moeten worden verwerkt moeten we onze data weghalen uit de cloud van het Amerikaanse Dropbox.  Voldoet de ontvanger in een land dat niet onder de AVG valt aan de eisen van deze wet dan mogen persoonsgegevens worden doorgegeven. De ontvanger dient daarvoor in het bezit te zijn van een Privacy Shield-certificaat. Dropbox heeft zo’n certificaat. Op www.privacyshield.gov/list vindt u alle organisaties in het bezit van het Privacy Shield-certificaat.
  4. Onze ICT voldoet aan de laatste eisen. Wij voldoen dus aan de AVG. De ICT omvat slechts een klein deel van alle procedures en technische en organisatorische middelen die organisaties dienen vast te leggen. Vergelijk het weer even met de Arbo-wetgeving waar het dragen van enkel een helm ook niet afdoende is. Alle procedures en processen moeten gedocumenteerd aantoonbaar in orde zijn.
  5. Het gaat bij deze wet alleen om privacybescherming van digitale gegevens. Nee! De AVG betreft ook papieren gegevens. Ook al is tegenwoordig het merendeel van de data digitaal, bewaren bedrijven nog steeds papieren documenten. Zoals die kast vol papieren salarisstroken. Ook die data vallen onder deze wet.

De Arbowet. Andere wet, zelfde principe

De invoering AVG heeft raakvlakken met die van de Arbowet. Toen deze wet vanaf 1984 stapsgewijs werd ingevoerd, was er in eerste instantie ook weinig impact. Tot een glazenwasser van het dak viel en hij zijn opdrachtgever aansprakelijk stelde. Via een rechtszaak werd fikse schadevergoeding toegewezen en ontstond jurisprudentie die in andere gevallen gebruikt kon worden. Tegenwoordig doet er dan ook geen enkele professionele glazenwasser zijn werk meer op een gammel laddertje. Kortom: u hoeft helemaal geen boete te krijgen; iemand kan u ook aanklagen. Met grote gevolgen op het gebied van financiën en imago.

De AVG is van kracht … en nu?

Voorkomen is beter dan genezen. Zeker als het gaat om misverstanden over de juiste naleving van de AVG. U heeft immers geen zin om vanwege een nalatigheid een rechtszaak of boete aan uw broek te krijgen. Zorg er daarom voor dat uw beleid op het gebied van de privacywetgeving aantoonbaar waterdicht is. Doe een grondige AVG-scan en ga bij twijfel naar een onafhankelijke partij voor een deskundige second opinion.

Heeft u nog vragen naar aanleiding van dit artikel? Neem dan gerust contact op met OBI via ons  terugbelformulier of bel naar telefoonnummer 088-9008100. OBI, Hét ICT Team staat graag voor u klaar.