De basis van de Algemene Verordening Gegevensbescherming| AVG

//De basis van de Algemene Verordening Gegevensbescherming| AVG

De basis van de Algemene Verordening Gegevensbescherming| AVG

 

Mijn naam is Stephan Mulders. Ik ben privacyrecht advocaat en ik krijg in mijn dagelijkse praktijk heel veel te maken met de Algemene Verordening Gegevensbescherming. En ik merk dat veel organisaties en ondernemingen opzien tegen de Algemene Verordening Gegevensbescherming. Zij dit als administratief monster en niet helemaal goed weten wat hun verplichtingen zijn en wat de verordening inhoud en waar ze aan moeten voldoen. En dat is jammer. Want ik denk dat de meeste organisaties hier makkelijk aan kunnen voldoen. Als ze maar dit goed administreren. Ik denk dat de verplichtingen van de AVG reuze meevallen. En daarom heb ik besloten om een aantal korte video’s op te nemen.  Mijn plan is om er 13 op te nemen en in iedere video probeer ik een onderwerp van de AVG aan te stippen. Dan kunt u denken aan; de persoonsgegevens, de verantwoordelijken, de verwerkers, de verplichtingen van de verantwoordelijken, de rechten van de betrokkenen, de gevolgen als u zich niet houdt aan de verordening.

20 Miljoen euro boete

De vraag die u zich wellicht al gesteld heeft; waarom zou ik moeten voldoen aan de Algemene verordening gegevensbescherming? Mijn verhaal gaat niet zozeer over de hoge boetes waar u zoveel over hoort. 20 Miljoen euro boete zou u kunnen krijgen. Ik denk dat de gemiddelde organisatie daar niet zo snel mee te maken krijgt. Als u nu bij een international werkt zoals Google en Facebook is dat een ander verhaal. Maar u moet weten dat de autoriteit persoonsgegevens al ruim 5 jaar lang boetes mag uitgeven, maar dit nog nooit heeft gedaan.

Meestal blijft de autoriteit persoonsgegevens bij de constatering dat er niet in lijn met de privacy richtlijn is gehandeld. Dit gaat ook niet snel veranderen. De boetes zullen voornamelijk worden opgelegd aan diegene die moedwillig de boel flessen, bijvoorbeeld; laatst werd bekend dat Uber een datalek onder de pet heeft gehouden. Dat kan absoluut niet. En het zal me echt verbazen dat de autoriteit persoonsgegevens daar niet nu al bezig is met het opleggen van boetes of onderzoek.

De echte reden dat een organisatie privacy serieus moet nemen is dat het tegenwoordig steeds meer van een organisatie wordt verwacht. Niet alleen de consumenten, maar ook de zakelijke klanten en de werknemers van de organisatie verwachten dat je serieus met privacy omgaat. Een zakelijke klant wordt er namelijk op afgerekend als in uw organisatie iets verkeerd gaat met de persoonsgegevens van zijn klanten. Die zakelijke klant is daarvoor verantwoordelijk. En die zakelijke klant die zal daarop worden aangekeken, tevens door de media.

Een ander simpel voorbeeld dat je als organisatie geconfronteerd wordt met Algemene Verordening Gegevensbescherming is wanneer u een dienstverlener bent die persoonsgegevens verwerkt. Een simpel voorbeeld is een ICT-dienstverlener. Die verwerkt vaak persoonsgegevens van zijn klanten. Al die klanten zijn verplicht een verwerkingsovereenkomst op te stellen waarin precies omschreven staat: Hoe de persoonsgegevens worden verwerkt, welke beveiligings-maatregelingen genomen worden, welke technische maatregelen genomen worden en welke organisatorische maatregelen genomen worden.

U kunt zich voorstellen dat wanneer u 100 klanten heeft, dat al die 100 klanten allemaal een aparte overeenkomst naar u toesturen. En iedere overeenkomst is anders. Dit verschilt van een simpele overeenkomst van 4 kantjes tot wel 20 tot 30 pagina’s tekst. Met allemaal verplichtingen qua beveiliging en maatregelen die u moet nemen zoals: Audits, software-updates, wanneer deze moeten doorgevoerd, noem maar op. U krijgt dus te maken met 100 verschillende regimes en voor ieder persoonsgegeven moet u iets anders doen. En dat is onwerkbaar. Dan moet u dus één of twee medewerkers in dienst nemen om dat überhaupt te doen. Of het alternatief is: ik teken gewoon en laat het in de kast liggen. Maar als er dan wat verkeerd gaat, dan komt een advocaat langs en die komt u precies vertellen wat u heeft afgesproken en wat u niet heeft gedaan. Dus dat is ook geen verstandige keus.

De oplossing is vrij eenvoudig

De oplossing is vrij eenvoudig. U kunt pro-actief handelen. Dat wil zeggen dat je dus zelf als organisatie een verwerkingsovereenkomst opstelt en deze voorstelt aan je klanten. In die verwerkingsovereenkomst staat wat je hen doet leveren. Dan kun je de dialoog aangaan en kun je aangeven dat; in het standaard pakket zitten deze maatregelen, maar als u bijvoorbeeld een audit wilt kan dat, maar daar zijn wel kosten aan verboden. En zo kun je heel gemakkelijk de dialoog voeren over welke beveiligingsmaatregelen en technische maatregelen noodzakelijk zijn. En dat kan ook leiden tot meer verkoop als bijvoorbeeld een klant zich bedenkt en daar is toch wat meer beveiliging nodig. En dat is een voorbeeld van actief omgaan met de Algemene verordening gegevensbescherming. En dat is maar één van de voorbeelden. In de opkomende video’s, van ongeveer 10 minuten, gaan wij dieper op een onderwerp in. Deze worden iedere dinsdag gepubliceerd en u kunt ze bekijken door ons te volgen op Youtube, Facebook, of Linkedin.

2018-04-05T15:59:06+00:00 maart 20th, 2018|AVG|0 Comments

Leave A Comment

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.