De eerste 125 dagen van de AVG

De eerste 125 dagen van de AVG

Op 25 september gaf Renske de Groot, advocate bij Wijn & Stael, namens Brainnet een webinar over de eerste 125 dagen van de AVG. Tijdens dit webinar stond ze stil bij de invoering van de Algemene verordening gegevensbescherming, wat er aan vooraf ging en wat de gevolgen van de invoering op dit moment zijn.

“Sinds de invoering van de AVG heeft de Autoriteit Persoonsgegevens meer bevoegdheden gekregen voor het handhaven. Zo kunnen er onder andere boetes worden opgelegd wanneer er een overtreding wordt geconstateerd. De eerste 125 dagen na invoering is de Autoriteit Persoonsgegevens voortvarend van start gegaan. In eerste instantie zijn overheidsinstanties gecontroleerd en daarnaast zijn er ook steekproefsgewijs bedrijven uit de private sector onderzocht. Ook wordt iedere klacht in behandeling genomen en binnen 3 maanden verder onderzocht. “

Renske geeft een paar struikelblokken aan waar veel organisaties sinds de invoering van de AVG tegenaan lopen. Per struikelblok geeft ze een korte uitleg en een oplossing.

  • De rolverdeling tussen ‘verwerkingsverantwoordelijke’ en  ‘verwerker’ is vaak onduidelijk

"De rechtspersoon die het doel en de middelen voor het verwerken van gegevens bepaald. Dus welke gegevens worden verzameld, hoe lang deze worden vastgelegd, met wie deze worden gedeeld en wanneer deze weer verwijderd moeten worden is de ‘verwerkingsverantwoordelijke’. De rechtspersoon die in opdracht persoonsgegevens verwerkt is de ‘verwerker’. Voor de verplichtingen vanuit de AVG is er een groot verschil tussen de verwerkingsverantwoordelijke en de verwerker. Als verwerker van persoonsgegevens heeft u minder verplichtingen dan als verwerkingsverantwoordelijke. Als u dus onterecht denkt dat u enkel de verwerker bent, schendt u de AVG. Weet u niet zeker welke rol u precies heeft, vraag dan juridisch advies of krijg op een andere wijze duidelijk welke rol u heeft."

  • Het omgaan met de ‘nieuwe’ rechten van betrokkenen

"Hoewel de rechten van betrokkenen niet anders zijn geworden ten opzichte van de Wet bescherming persoonsgegevens, lukt het veel organisaties niet om gehoor te geven aan verzoeken rondom het inzien, wijzigen en verwijderen van persoonsgegevens. Het is belangrijk dat u advies vraagt wanneer u hier niet uitkomt, want het risico op reputatieschade is zeker aanwezig. Journalisten zijn de afgelopen tijd op pad gegaan om bij grotere organisaties na te gaan of zij adequaat konden reageren op verzoeken tot inzage of verwijdering. Veel van deze bedrijven konden dit niet. Uw reputatie is belangrijk, dus neem uw beleid onder de loep."

  • Het creëren van bewustwording in alle lagen van de organisatie

"Er zijn ongetwijfeld enkele mensen binnen uw organisatie druk bezig geweest met de invoering van de AVG. Het is echter van belang dat de gehele organisatie weet wat de AVG inhoudt en wat er moet gebeuren om deze zo goed mogelijk na te leven. Wat u bijvoorbeeld kunt doen is het geven van een voorlichting aan alle medewerkers en een paar personen echt verantwoordelijk maken. De invoering moet zorgen voor een cultuurverandering bij organisaties."

“Dat de Autoriteit Persoonsgegevens druk bezig is met controles, blijkt uit een nieuwsbericht van 6 juli. Hierin stond dat de Belastingdienst handelt in strijd met de AVG. Zij verwerkten het BSN van zelfstandigen met een eenmanszaak in het btw identificatienummer, waardoor het BSN van deze zelfstandigen op straat kwam te liggen met alle mogelijke gevolgen van dien. Nu denkt u misschien ‘mijn organisatie is maar klein, dit is een ver van mijn bed show’. Hoewel de Autoriteit Persoonsgegevens is begonnen bij de grote spelers, daalt ze denk ik snel af naar de MKB of kleinere spelers. Naast de boetes die kunnen worden opgelegd is ook reputatieschade een groot risico van schending van de AVG.“

Als laatste geeft Renske nog de volgende vragen mee om te controleren of uw bedrijf écht AVG-compliant is. Ze drukt u daarbij op het hart om bij onduidelijkheid of onzekerheid (juridisch) advies te vragen.

  • Begrijp ik alle (open) normen van de AVG?
  • Heb ik mijzelf de juiste rol toebedeeld?
  • Heb ik vanuit mijn (juiste) rol aan alle verplichtingen van de AVG voldaan?
  • Zijn alle documenten (zoals een privacy statement en verwerkersovereenkomst) juist opgesteld?
  • Bieden deze mijn bedrijf voldoende zekerheid?
  • Welke juridische consequenties heeft het als een en ander niet goed geregeld is?

Wilt u meer informatie over de AVG? Download dan onze beleidsnotitie die wij in samenwerking met Wijn & Stael hebben opgesteld.

Download de beleidsnotitie