Deel dit artikel










Submit
general data protection regulation in netherlands people using mobile gadgets and internet devices among big avg letters gdpr, avg, dsgvo concept vector illustration flat style horizontal

Waakhond AP gaat AVG verwerkersovereenkomst controleren

General Data Protection Regulation in Netherlands. People using mobile gadgets and internet devices among big AVG letters. GDPR, AVG, DSGVO. Concept vector illustration. Flat style. Horizontal.

Het is even stil geweest rond de nieuwe privacywet AVG. Maar nu heeft de Autoriteit Persoonsgegevens (AP) van zo’n 30 bedrijven gegevens opgevraagd om te controleren of ze een verwerkersovereenkomst hebben en of die AVG-proof is. Eerder legde de AP al een boete van € 600.000 op aan Uber wegens overtreding van de meldplicht datalekken.

Is je bedrijf AVG-proof?
In mei vorig jaar was er veel te doen over de invoering van de Algemene Verordening Gegevensbescherming (AVG). Iedereen die persoonsgegevens verwerkt, en dat is bijna iedere organisatie, kreeg ermee te maken. De AP, verantwoordelijk voor handhaving van de AVG, heeft sindsdien verschillende controles uitgevoerd. Zo keek de AP of ziekenhuizen, verzekeraars en banken een functionaris voor de gegevensbescherming hadden aangesteld. Ook werden verschillende organisaties gecontroleerd op het bijhouden van een verwerkingsregister. De AP heeft nu haar focus gelegd op het hebben van een geldige verwerkersovereenkomst en controleert dit bij 30 bedrijven in onder meer de energiesector, media en handel.

Wat is een verwerkersovereenkomst?
Beschik je als organisatie over persoonsgegevens en laat je die door een andere partij verwerken (de zogenaamde verwerker), dan ben je verplicht een geldige verwerkersovereenkomst met de verwerker te sluiten. Je hebt ook een verwerkersovereenkomst nodig als je de verwerking aan een eigen dochteronderneming uitbesteedt. Het verwerken van persoonsgegevens is een heel ruim begrip waardoor daar al snel sprake van is. Het invoeren, ordenen, raadplegen, analyseren en gebruiken van gegevens van bijvoorbeeld personeel, klanten, leden of leerlingen wordt allemaal gezien als verwerking van persoonsgegevens. Als opdrachtgever van de verwerker blijf je zelf verantwoordelijk voor de bescherming van die persoonsgegevens.

Wat moet in je verwerkersovereenkomst staan?
In de verwerkersovereenkomst neem je op hoe je de bescherming en verwerking van de persoonsgegevens hebt geregeld. De volgende gegevens zijn verplicht:

  • welke gegevens laat je verwerken
  • hoelang laat je deze gegevens verwerken
  • wat is de aard en het doel van de verwerking
  • hoe heb je de beveiliging van de persoonsgegevens gewaarborgd

Boete van maximaal € 10 miljoen
Beschik je niet over een verwerkersovereenkomst of is deze niet AVG-compliant, dan kan het AP een boete van maximaal € 10 miljoen opleggen of 2% van de wereldwijde omzet als dat bedrag hoger is. De AP kan zowel de opdrachtgever als de verwerker zelf een boete opleggen als er geen geldige verwerkersovereenkomst is overeengekomen.

Boete van 600.000 voor Uber
Dat de AP de handhaving serieus neemt, blijkt uit het opleggen van een boete van € 600.000 aan Uber omdat het bedrijf de meldplicht datalekken had overtreden. Deze meldplicht houdt in dat je een ernstig datalek binnen 72 uur moet melden bij de AP en eventueel de betrokkenen moet inlichten. Uber lichtte de AP echter pas na een jaar in over het datalek. Hoewel de boete is opgelegd onder de oude privacywetgeving, was dit de eerste boete die de AP oplegde na invoering van de AVG. Zowel onder de oude als nieuwe privacywet is het tijdig melden van een datalek verplicht.

AVG geldt ook voor MKB en ZZP’ers
Het is overigens een misvatting dat de AVG alleen voor grote bedrijven als Uber geldt. De AVG geldt voor alle organisaties, bedrijven, verenigingen en stichtingen die persoonsgegevens verwerken. Het MKB en ZZP’ers vallen daar dus ook onder.

Welke plichten kent de AVG nog meer?
Om je geheugen even op te frissen, de belangrijkste overige verplichtingen die de AVG aan bedrijven en organisaties oplegt, zijn:

Voldoet je bedrijf of organisatie niet aan een van deze AVG-verplichtingen, dan kan de AP een boete tot € 20 miljoen opleggen of 4% van je totale jaaromzet, als dat bedrag hoger is.
Heb je nog geen verwerkersovereenkomst, dan kun je hier makkelijk en snel een verwerkersovereenkomst opstellen.

Gerelateerde artikelen