Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop eisen voor de kiezen, van het documenteren van gegeven toestemming tot het registreren van datalekken en het borgen van beveiliging. De belangrijkste prikkel uit de AVG om dit te doen is de enorme boetes die dreigen voor wie het niet doet. Wat zegt de AVG nu precies over boetes?
De AVG kent twee boetecategorieën: een lage categorie bij overtreding van administratieve bepalingen en een hoge categorie voor meer fundamentele overtredingen. Dat ‘laag’ is overigens relatief: tien miljoen euro, of als dat meer is 2% van de wereldwijde jaaromzet. De hoge categorie is maar liefst twintig miljoen of 4%.
Deze enorme bedragen zijn met name bedoeld voor de technologie-reuzen zoals Facebook, Google en Amazon die miljarden winst maken met de verwerking van persoonsgegevens. In de praktijk hoeft een mkb’er dus niet te vrezen voor dergelijke bedragen. De AVG bepaalt expliciet dat boetes doeltreffend, evenredig en afschrikkend moeten zijn. Doeltreffend wil zeggen dat zij het gewenste gedrag (naleving van de AVG) stimuleren, evenredig dat ze niet disproportioneel zwaar (of juist licht) zijn gezien de overtreding en afschrikkend dat ook anderen het gewenste gedrag gaan vertonen. Toezichthouders moeten specifiek boetebeleid opstellen.
Toezichthouders kunnen u overigens tevens bevelen bepaalde verwerkingen te staken of aan te passen, wat natuurlijk ook een behoorlijke kostenpost kan opleveren. En eventuele boetes of stakingsbevelen worden gepubliceerd, zodat u ook rekening moet houden met reputatieschade.
Maar boetes zijn niet de enige reden om aan de AVG te voldoen. Steeds belangrijker wordt de simpele overweging dat klanten, leveranciers of partners dit van u verlangen. Dit trickle-down effect zien we nu al veel in de praktijk. Grote bedrijven, waaronder banken en verzekeraars, eisen in hun inkoopvoorwaarden simpelweg een keiharde garantie dat hun leveranciers de AVG nakomen, en dat zij aansprakelijk zijn voor alle schade als dat niet het geval blijkt. Deze leveranciers leggen deze eis dan logischerwijs ook weer bij hún leveranciers en partners neer, zodat deze vrijwillige compliance straks bij een grote hoeveelheid bedrijven terecht komt.
Ook verlangen verzekeraars steeds vaker dat men de privacywetgeving naleeft, zodat u dus onverzekerd blijkt als bijvoorbeeld een datalek veroorzaakt is door het negeren van de AVG. Controleer dus goed uw verzekeringspolis en ga na welke eisen uit de AVG u moet naleven (en hoe) om verzekerd te blijven werken.
Compliant zijn met de AVG is vooral een kwestie van documenteren. De makkelijkste manier hiervoor is de overzichtelijke tooling van Privacyblox.nl. Het systeem maakt processen van gegevensverwerking transparant. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!
Bent u alleen op zoek naar losse privacydocumenten? Bekijk dan de Privacybundel op JuriDox!