wetgeving

Boetes bij nalatigheid uitvoering AVG

Geplaatst op

Met de introductie van de Algemene Verordening Gegevensbescherming (AVG) verandert de teneur rondom het verwerken van persoonsgegevens. Ongebreidelde groei en toepassing van ongeautoriseerde verwerkingen worden niet meer toegestaan. Al naar gelang aard en omvang moet u meer of minder doen om te voldoen aan de verplichtingen binnen de AVG. Aan u de keuze hoe u invulling geeft aan de eisen die de AVG stelt. De Autoriteit Persoonsgegevens houdt toezicht en boetes in geval van nalatigheid kunnen enorm oplopen.

Boetes tot 10% jaaromzet
Onder de AVG kan de Autoriteit Persoonsgegevens straks een veel hogere boete gaan opleggen. De maximumboete bedraagt dan namelijk € 20 miljoen of 4% van de totale wereldwijde jaaromzet. Deze maximumboete kan worden opgelegd als er basisbeginselen van gegevensverwerking of rechten van betrokkenen zijn geschonden of als een bevel van de toezichthouder niet wordt nageleefd. Als het grofweg gaat om schending van verplichtingen en verantwoordelijkheden geldt er een maximumboete van € 10 miljoen of 2% van de totale wereldwijde jaaromzet. Bijvoorbeeld wanneer is nagelaten om een datalek te melden bij de Autoriteit Persoonsgegevens.

Reputatieschade
Het is nog niet duidelijk hoe strikt de nieuwe regels gaan worden nageleefd. De vraag is hoe de toezichthouders omgaan met het uitdelen van boetes en er is nog geen jurisprudentie. Daarnaast is de verwachting dat de maatschappij en de pers veel harder oordelen over nalatigheid in dit domein. Deze imagoschade kan wellicht nog wel grotere consequenties hebben dan boetes.

Voordelen AVG
Hoewel we de implicaties van de nieuwe regelgeving en de administratieve last niet moeten onderschatten, zitten er ook voordelen aan. Als de Algemene Verordening Gegevensbescherming van toepassing is, geldt binnen heel Europa dezelfde wetgeving voor de verwerking van persoonsgegevens. Dat is een groot voordeel als u in meerdere EU-lidstaten actief bent. U heeft minder administratieve kosten en nalevingskosten en u heeft meer rechtszekerheid. Er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU en u heeft nog maar met één toezichthouder te maken (one-stop-shop).

wetgeving

Algemene Verordening Gegevensbescherming

Geplaatst op

De Algemene Verordening Gegevensbescherming is vanaf 25 mei 2018 van toepassing. Omdat de AVG diverse nieuwe en striktere eisen stelt aan organisaties die persoonsgegevens verwerken, is het raadzaam om tijdig te starten met de voorbereidingen op de introductie van deze nieuwe wet. De voorbereiding kan tijdrovend zijn. Per organisatie moet gekeken worden in welke mate de nieuwe eisen relevant zijn en moeten worden geadresseerd.

Een overzicht van de nieuwe eisen naar aanleiding van de Algemene Verordening Gegevensbescherming:

Documentatieplicht: Als uw organisatie persoonsgegevens verwerkt, dan hoeft u daar geen melding van te doen bij de Autoriteit Persoonsgegevens. De AVG verandert de (passieve) registratieplicht in een documentatieplicht. U moet zelf de verwerkingen in een verwerkingsregister documenteren, waarmee u actief kunt aantonen dat uw organisatie de privacyregels naleeft.

Meer rechten betrokkenen: De personen wiens gegevens worden verwerkt en beschermd krijgen meer rechten, namelijk:
– Correctie van persoonsgegevens. Mensen hebben het recht om een organisatie te vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.
– Inzage in persoonsgegevens. Mensen hebben het recht om een organisatie inzage te vragen of deze organisatie persoonsgegevens van hen heeft vastgelegd en zo ja, welke.
Zij hoeven geen reden te geven voor een inzageverzoek.
– Verwijderen van persoonsgegevens. Mensen hebben het recht om u te vragen persoonsgegevens die u van hen verwerkt te laten verwijderen.

Impact assessment: Indien de verwerkingen van persoonsgegevens in een organisatie een hoog privacy-risico opleveren dan moet een Data Protection Impact Assessment (DPIA) uitgevoerd worden. Deze assessments geven meer zicht op de aard en omvang van deze gegevensverwerkingen en geven uitsluitsel of dat u aan uw verplichtingen voldoet.

Eigen Functionaris Gegevensbescherming: Organisaties kunnen verplicht zijn om een Functionaris Gegevensbescherming aan te stellen. Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG.

Privacy aandachtspunt bij productontwikkeling: De Algemene Verordening Gegevensbescherming vereist dat al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) aandacht wordt besteed aan privacy verhogende (beveiligings-)maatregelen.