Is je bedrijf AVG-proof?
In mei 2018 jaar was er veel te doen over de invoering van de Algemene Verordening Gegevensbescherming (AVG). Iedereen die persoonsgegevens verwerkt, en dat is bijna iedere organisatie, kreeg ermee te maken. De AP, verantwoordelijk voor handhaving van de AVG, heeft sindsdien verschillende controles uitgevoerd. Zo keek de AP of ziekenhuizen, verzekeraars en banken een functionaris voor de gegevensbescherming hadden aangesteld. Ook werden verschillende organisaties gecontroleerd op het bijhouden van een Verwerkingsregister. De AP heeft nu haar focus gelegd op het hebben van een geldige Verwerkersovereenkomst en controleert dit bij 30 bedrijven in onder meer de energiesector, media en handel.
Wat is een Verwerkersovereenkomst?
Beschik je als organisatie over persoonsgegevens en laat je die door een andere partij verwerken (de zogenaamde verwerker), dan ben je verplicht een geldige Verwerkersovereenkomst met de verwerker te sluiten. Je hebt ook een Verwerkersovereenkomst nodig als je de verwerking aan een eigen dochteronderneming uitbesteedt. Het verwerken van persoonsgegevens is een heel ruim begrip waardoor daar al snel sprake van is. Het invoeren, ordenen, raadplegen, analyseren en gebruiken van gegevens van bijvoorbeeld personeel, klanten, leden of leerlingen wordt allemaal gezien als verwerking van persoonsgegevens. Als opdrachtgever van de verwerker blijf je zelf verantwoordelijk voor de bescherming van die persoonsgegevens.
Wat moet in je Verwerkersovereenkomst staan?
In de Verwerkersovereenkomst neem je op hoe je de bescherming en verwerking van de persoonsgegevens hebt geregeld. De volgende gegevens zijn verplicht:
- welke gegevens laat je verwerken
- hoelang laat je deze gegevens verwerken
- wat is de aard en het doel van de verwerking
- hoe heb je de beveiliging van de persoonsgegevens gewaarborgd
Boete van maximaal € 10 miljoen
Beschik je niet over een Verwerkersovereenkomst of is deze niet AVG-compliant, dan kan het AP een boete van maximaal € 10 miljoen opleggen of 2% van de wereldwijde omzet als dat bedrag hoger is. De AP kan zowel de opdrachtgever als de verwerker zelf een boete opleggen als er geen geldige Verwerkersovereenkomst is overeengekomen.
Boete van € 600.000 voor Uber
Dat de AP de handhaving serieus neemt, blijkt uit het opleggen van een boete van € 600.000 aan Uber omdat het bedrijf de meldplicht datalekken had overtreden. Deze meldplicht houdt in dat je een ernstig datalek binnen 72 uur moet melden bij de AP en eventueel de betrokkenen moet inlichten. Uber lichtte de AP echter pas na een jaar in over het datalek. Hoewel de boete is opgelegd onder de oude privacywetgeving, was dit de eerste boete die de AP oplegde na invoering van de AVG. Zowel onder de oude als nieuwe privacywet is het tijdig melden van een datalek verplicht.
AVG geldt ook voor MKB en ZZP’ers
Het is overigens een misvatting dat de AVG alleen voor grote bedrijven als Uber geldt. De AVG geldt voor alle organisaties, bedrijven, verenigingen en stichtingen die persoonsgegevens verwerken. Het MKB en ZZP’ers vallen daar dus ook onder.
Welke plichten kent de AVG nog meer?
Om je geheugen even op te frissen, de belangrijkste overige verplichtingen die de AVG aan bedrijven en organisaties oplegt, zijn:
- je moet een Privacyverklaring hebben om aan te geven hoe je met persoonsgegevens omgaat
- je moet een Protocol Meldplicht Datalekken hebben als je zelf verantwoordelijk bent voor de verwerking van persoonsgegevens
- je moet in bepaalde gevallen een Verwerkingsregister hebben als je zelf verantwoordelijk bent voor de verwerking van persoonsgegevens
- je moet over een Cookieverklaring beschikken als je op je website je cookies gebruikt of door anderen laat gebruiken
- je moet in sommige gevallen een functionaris voor de gegevensbescherming aanstellen
Voldoet je bedrijf of organisatie niet aan een van deze AVG-verplichtingen, dan kan de AP een boete tot € 20 miljoen opleggen of 4% van je totale jaaromzet, als dat bedrag hoger is.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.