Bent u AVG-proof?
Bent u AVG-proof?
Vanaf aanstaande vrijdag treedt de nieuwe privacywet AVG officieel in werking. Bent u er klaar voor? Nee? Dan bent u niet de enige. De Belastingdienst en andere overheidsinstellingen zoals de Sociale Verzekeringsbank(SVB) halen de deadline van 25 mei ook niet.
De fiscus hoopte op uitstel, maar toezichthouder Autoriteit Persoonsgegevens (AP) is niet van plan hen of andere instellingen of bedrijven een voorkeursbehandeling te geven. ‘Er mag geen twijfel over bestaan dat ook de Belastingdienst gewoon aan de AVG moet voldoen. Voor zo’n organisatie, die heel veel persoonsgegevens verwerkt en heel veel van ons weet, is naleving extra belangrijk’, zegt een woordvoerster van de AP.
Wat gebeurt er als u niet op 25 mei voldoet aan de AVG? Krijgt u dan direct een boete, wordt uw zaak binnenstebuiten gekeerd? Koppel Advies zocht het voor u uit.
Wat betekent de AVG voor ondernemers en ZZP’ers?
Maandagochtend 28 mei 2018. Het einde van de maand nadert en u denkt ‘mooi, de laatste maandag van de maand. Tijd om wat facturen te versturen’. U maakt een uitdraai en stuurt keurig volgens planning de rekeningen. U doet dit al jaren zo. Uw klanten zijn dit gewend. Niks aan het handje. MIS! Als u niet aan de voorwaarden van de AVG voldoet.
De AVG raakt uw bedrijfsvoering iedere keer dat u contact zoekt met (potentiële) klanten of uw personeel. Dit kan zijn door het versturen van facturen of offertes, maar ook door het verzenden van een nieuwsbrief of door het bijhouden van afspraken met klanten, personeelsinformatie of klantgegevens. Dit geldt niet alleen voor grote organisaties, voor het klein mkb en zzp’ers gelden dezelfde regels.
Wat moet u doen? De AP verwacht dat u kunt aantonen dat u de juiste maatregelen heeft genomen om aan de AVG te voldoen. Daarnaast moet u kunnen bewijzen dat u geldige toestemming heeft ontvangen van personen voor het werken van hun gegevens.
Heeft u nog niks geregeld? Dan bent u eigenlijk al te laat. Nu is de verwachting dat niet ieder bedrijf op 28 mei meteen gecontroleerd wordt en een boete krijgt als blijkt dat het niet klopt. Toch raden we u aan zo snel mogelijk aan de wet te voldoen. Hoe start u? Onze checklist helpt u op weg. Door ervoor te zorgen dat u aan de AVG voldoet voorkomt u een boete. En die boetes zijn niet mis; ze kunnen oplopen tot € 20 miljoen of 4% van uw (wereldwijde) jaaromzet.
Wanneer riskeert u een boete?
De AP schermt met fikse boetes. Maar waar is dit boetebeleid precies op gebaseerd? En nog belangrijker; wanneer precies riskeert u een boete?
De AVG valt onder EU-wetgeving. Onder het EU-recht moeten sancties doeltreffend, evenredig en afschrikwekkend zijn. Vooral dat laatste is goed gelukt.
U riskeert een boete:
1: Als u uw meldplicht niet nakomt en de AP dit ontdekt
2: Als u niet aan de AVG voldoet en er gerelateerde klachten ontstaan
Meldplicht
U moet alle datalekken melden bij de AP. De AP gaat op basis van een melding na of u aan de meldplicht heeft voldaan. Wanneer u hier niet aan voldoet kan de meldplichtboete oplopen tot € 820.000 of 10% van uw jaaromzet.
Klachten
Iemand uit uw database ontvangt een nieuwsbrief terwijl degene zich hiervoor niet heeft opgegeven. Toevallig heeft de persoon in kwestie weleens gehoord van de AVG en hij trekt aan de bel bij de AP. Vergelijkbare klachten komen voor als iemand heeft aangegeven verwijderd te willen worden, maar dit niet is gebeurd. De hoogte van deze boete is volledig afhankelijk van de situatie en wordt door de AP-toezichthouder naar eigen inzicht bepaald.
In de praktijk worden er niet vaak boetes uitgedeeld. De AP stuurt eerst een waarschuwing. Ontdek meer over de hoogtes van de boetes op de site van de AP. Wees ervan bewust dat de AP uit zichzelf ook controles uitvoert. Wanneer dit gebeurt weet u niet. Regel daarom vandaag nog dat u AVG-conform handelt.
Controle en handhaving AVG
Als de AP uw bedrijf controleert, als steekproef of omdat zij een klacht hebben ontvangen, besluiten ze op basis van wat zij zien om wel of geen onderzoek te doen. Klopt er iets niet en zou er eigenlijk onderzoek gedaan moeten worden? Dan stuurt de AP eerst een brief om te kijken of het ook zonder gedoe opgelost kan worden. Reageert u hier niet op of is er toch meer aan de hand? Dan komt de AP bij u op bezoek om de zaak nader te onderzoeken.
Als na afronding van het onderzoek blijkt dat er (ernstige) overtredingen zijn kan de AP besluiten u uit te nodigen voor een hoorzitting. Tijdens deze zitting deelt de AP zijn bevindingen. Vervolgens kan de AP sancties uitdelen om de overtredingen te stoppen.
Benieuwd hoe zo’n onderzoek in zijn werk gaat? Op de site van de AP worden de onderzoeksfasen duidelijk toegelicht.
AVG-checklist
Denkt u klaar te zijn voor de AVG? Check hieronder of dat inderdaad zo.
Check 1
Heeft u een overzicht gemaakt van de persoonlijke gegevens die u opslaat en welke gegevens u verzamelt?
Check 2
Zijn deze gegevens gecheckt op: relevantie, of ze gevoelige informatie bevatten en of ze voldoen aan de eisen van de AVG?
Check 3
Weten uw collega’s welke gegevens u verzamelt en of deze zijn goedgekeurd?
Check 4
Heeft u uw processen voor de verzameling van (toekomstige) persoonlijke gegevens ingericht conform de AVG?
Check 5
Heeft u een register aangemaakt waarin de verwerkingsdoeleinden, gegevenscategorieën en externe ontvanger in zijn opgenomen?
5x ja? Mooi! U bent er klaar voor. Nog niet helemaal of helemaal niet? Begin vandaag nog!
Opstartproblemen?
De AP heeft een handige tool ontwikkeld die u helpt te zien waar u staat in het AVG-proof-worden-proces en hoe u het beste kunt beginnen.