Boetes bij overtreden AVG-wetgeving
De Autoriteit Persoonsgegevens mag bedrijven die niet AVG-proof – ofwel in lijn met de AVG-wetgeving – werken een boete opleggen. Die boete kan oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet. Zowel gebruikers, klanten als andere bedrijven kunnen meldingen doen als ze een overtreding vermoeden. Voorkom dat uw bedrijf per ongeluk niet voldoet aan de eisen die de wet stelt.
De autoriteit kan boetes opleggen voor twee soorten overtredingen:
Boete voor niet nakomen AVG-verplichtingen;
Boete voor overtreden AVG-beginselen of grondslagen.
Boete voor niet nakomen AVG-verplichtingen
Bedrijven die persoonsgegevens verwerken hebben onder de AVG-wetgeving een verantwoordingsplicht. Komt een bedrijf die verplichting niet na? Dan kan de AP een boete opleggen tot tien miljoen euro, of twee procent van de wereldwijde omzet.
Boete voor overtreden AVG-beginselen of grondslagen
Schendt een bedrijf de privacyrechten van gebruikers, klanten of andere betrokkenen? Het is dan een overtreding van de AVG-beginselen of grondslagen en zoals reeds aangegeven, kan de boete in dat geval oplopen tot maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet.
Mijn bedrijf AVG-proof maken: complete checklist
Gebruik onze AVG-checklist om AVG-proof te werken. Doorloop de checklist als u een bedrijf start en persoonsgegevens gaat verwerken. Of herhaal de checklist bijvoorbeeld ieder jaar, om te voorkomen dat het privacybewustzijn ongemerkt afneemt en het risico op een boete toeneemt.
Houd zicht op alle verwerkingen
Controleer de grondslag voor verwerking
Maak (en houd) medewerkers privacybewust
Garandeer privacyrechten
Houd het verwerkingsregister up-to-date
Verdiep u in de DPIA (Data Protection Impact Assessment, ofwel de gegevensbeschermingseffectbeoordeling)
Ga uit van privacy by design en privacy by default
Stel een FG (Functionaris Gegevensbescherming) of privacycontactpersoon aan. Dit is verplicht voor ondernemingen die privacygevoelige gegevens verwerken en voor ondernemingen met meer dan 250 medewerkers.
Bereid voor op het handelen bij datalekken
Houd grip op uw gegevensverwerkers (derden die gegevens voor u verwerken)
1. Houd zicht op alle verwerkingen
Welke gegevens verwerkt de onderneming? Het type gegevens dat wordt verwerkt bepaalt hoe u daarmee moet omgaan. En aan welke AVG-regels u zich moet houden.
Tip: controleer of er sprake is van ‘bijzondere persoonsgegevens’. De verwerking daarvan is in de meeste gevallen verboden.2. Controleer de grondslag voor verwerking
Bedrijven mogen persoonsgegevens verwerken als ze daarvoor een grondslag hebben. Dat is bijvoorbeeld het geval als de gegevens noodzakelijk zijn voor de uitvoering van een overeenkomst. De Autoriteit Persoonsgegevens gaat uit van zes verschillende grondslagen.3. Maak (en houd) medewerkers privacybewust
Zorg dat alle medewerkers goed op de hoogte zijn van privacyregels. Breng de AVG-checklist en -regels onder de aandacht bij nieuwe medewerkers. Het is bijvoorbeeld verstandig om deze checklist ieder jaar met iedereen door te nemen. Dat voorkomt onduidelijkheden.
4. Garandeer privacyrechten
Hoe gaat uw bedrijf om met privacyverzoeken van klanten, gebruikers en andere betrokkenen? Bied ze de mogelijkheid om hun privacyrechten uit te oefenen. Zij hebben bijvoorbeeld het recht om inzage te krijgen in hun persoonsgegevens en om hun data mee te nemen naar een ander bedrijf (dataportabiliteit).
Let op: houd rekening met de bewaartermijnen voor data. Verwijder gegevens die niet langer noodzakelijk zijn.
5. Houd het verwerkingsregister up-to-date
Veel bedrijven zijn verplicht om een verwerkingsregister bij te houden. Zorg ervoor dat alle (nieuwe) verwerkingen in het register staan, om AVG-proof te blijven werken.
6. Verdiep u in de DPIA
In sommige gevallen moeten bedrijven een data protection impact assessment (DPIA) uitvoeren, voordat ze gegevens mogen verwerken. Controleer of dit is gebeurd en of het voor nieuwe verwerkingen opnieuw nodig is om dit te doen.7. Ga uit van privacy by design
Bij het toepassen van privacy by design, wordt rekening gehouden met privacy – zowel technische als organisatorische maatregelen – rondom het (her)ontwerpen van producten, systemen en processen met als hoofddoel: de bescherming van persoonsgegevens optimaliseren. Denk hierbij aan dataminimalisatie, anonimisering, pseudonimisering, need-to-know, encryptie en het vermijden van ongestructureerde gegevens.
Voorkom dat uw bedrijf gegevens verzamelt, opslaat en beheert die niet noodzakelijk zijn. Vraag in een app bijvoorbeeld alleen de locatie van gebruikers als dat echt nodig is. En vraag niet meer gegevens dan nodig als iemand zich wil abonneren op een nieuwsbrief.
8. Stel een FG of privacycontactpersoon aan
Bepaal of uw bedrijf een Functionaris Gegevensbescherming (FG) moet aanstellen, bijvoorbeeld als de omvang en activiteiten van de organisatie veranderen.
Tip: is een FG voor uw bedrijf niet verplicht? Overweeg om vrijwillig een privacycontactpersoon aan te stellen.
9. Bereid voor op het handelen bij datalekken
Hoe gaat uw bedrijf om met een eventueel datalek? Bereid voor op een eventueel lek en andere beveiligingsincidenten die kunnen plaatsvinden. Richt processen in om snel te kunnen handelen en een datalek AVG-proof bij de Autoriteit Persoonsgegevens te melden.
10. Houd grip op gegevensverwerkers
Werkt u samen met gegevensverwerkers? Beoordeel of de overeengekomen maatregelen in de contracten AVG-proof zijn. Gebruik deze laatste stap in de AVG-checklist om te bepalen of de maatregelen in de praktijk worden nageleefd. U bent verantwoordelijk als een extern bedrijf een datalek veroorzaakt bij de bewerking of opslag van uw klantgegevens.
Opslaan van gegevens
Nog een belangrijk onderwerp binnen de AVG is gegevensopslag. Veel (Nederlandse) bedrijven gebruiken Amerikaanse clouddiensten om hun gegevens op te slaan, denk hierbij aan de diensten van Amazon (AWS) of Microsoft (Azure). Wanneer deze partijen niet voldoen aan de Europese privacywet, bestaat de kans dat u als afnemende partij de wet overtreedt. Voorafgaand aan het gebruiken van clouddiensten voor uw opslag van data, is het verstandig om te controleren of de aanbieder in kwestie voldoet aan de juiste wetgeving.
Doe de Cyberrisicoscan
Bent u in het verlengde van de AVG-checklist benieuwd naar de cyberrisico’s die uw onderneming loopt of wilt u weten hoe goed uw cybersecurity is? Via het blok aan de rechterzijde komt u terecht bij onze Cyberrisicoscan. Via deze handige en gratis tool ziet u snel wat de status van uw cybersecurity is.
