Organisaties die persoonsgegevens van Europese burgers verwerken, moeten vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) naleven. Maar wat zijn eigenlijk de consequenties als u op de genoemde datum niet compliant bent met de nieuwe Europese privacywetgeving?
De AVG is op een aantal punten drastisch veranderd vergeleken met de huidige Wet bescherming persoonsgegevens (Wbp). Uw organisatie kan met ingrijpende gevolgen te maken krijgen, zeker als het gaat om uw datahuishouding. Zo is de kans aanwezig dat u een register moet bijhouden van alle verwerkingen van persoonsgegevens, Data Protection Impact Assessments moet uitvoeren en een Data Protection Officer moet aanstellen.
Voldoet u nu al niet aan de regels van de Wbp, dan zal het niet meevallen om op tijd compliant te zijn met de nieuwe privacywetgeving. Ter geruststelling: compliance op de genoemde datum is geen verplichting. Voldoet u niet aan de wet, dan moet u wel kunnen aantonen dat u de bescherming van persoonsgegevens uiterst serieus neemt en werkt aan verbetering. Kunt u dat niet, dan ondervindt u daar mogelijk de gevolgen van.
Sancties
Wat zijn na 25 mei 2018 de consequenties als u niet compliant bent? U loopt dan het risico op:
1. Torenhoge administratieve boetes
Wellicht de bekendste maatregel uit de AVG is de bevoegdheid die de lokale privacywaakhonden krijgen om flinke boetes op te leggen. Op sommige overtredingen staat een boete van maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet in het vorige boekjaar.
Voor andere overtredingen, zoals schendingen van de basisprincipes voor de verwerking van persoonsgegevens, loopt het maximale boetebedrag op tot 20 miljoen euro of 4 procent van de wereldwijde omzet. De maximumbedragen gelden ook als er meerdere boetes worden opgelegd.
2. Corrigerende maatregelen
Naast de mogelijkheid om boetes op te leggen, kan in ons geval de Autoriteit Persoonsgegevens (AP) organisaties ook op andere manieren op de vingers tikken. Zo kan de AP organisaties berispen, verbieden om verwerkingen uit te voeren of straffen door certificeringen in te trekken. Ook het opschorten van gegevensstromen naar derde landen of internationale organisaties behoort tot de mogelijkheden.
3. Boetes onder dwangsom
Volgens het voorontwerp van de ‘Uitvoeringswet Algemene verordening gegevensbescherming’ mag de AP in Nederland een zogeheten ‘last onder dwangsom’ op te leggen. Als u zich niet houdt aan een bindende instructie van de AP, kan dat direct leiden tot een geldelijke sanctie, ofwel een dwangsom.
De dreiging met een dwangsom is iets anders dan de administratieve boetes die al in de AVG staan. Vergeleken met de AVG wordt het financiële sanctiepakket in Nederland dus uitgebouwd.
4. Persoonlijke aansprakelijkheid
Als een betrokkene schade lijdt door een datalek, is het mogelijk dat de ‘verwerkingsverantwoordelijke’ persoonlijk aansprakelijk wordt gesteld. In bijvoorbeeld Duitsland is die persoonlijke aansprakelijkheid alvast opgenomen in de implementatievoorstellen voor de AVG in de vorm van administratieve boetes tot 300.000 euro.
Ook de Nederlandse uitvoeringswet spreekt over een aansprakelijkheid. ‘De verwerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.’
5. Negatieve aandacht
Buiten alle boetes, berispingen en dwangsommen hebben incidenten met persoonsgegevens ook direct nadelige gevolgen. Bedrijven die niet correct omgaan met de privacy van hun klanten krijgen steeds meer negatieve aandacht. Dit leidt onder andere tot gezichtsverlies en het verlies van klanten.
Redenen genoeg om op 25 mei 2018 in ieder geval te kunnen aantonen dat u de bescherming van persoonsgegevens serieus neemt. Hoe u compliance met de AVG aanpakt, leest u in de whitepaper ‘Bescherm de privacy van uw klanten’.
Whitepaper: Privacy & Security
‘Security’ en ‘privacy’ zijn termen die vaak in één adem worden genoemd. Toch zijn er wel degelijk verschillen.
Download
