Handhaving van de AVG: Wat is eigenlijk het risico?
Wat het risico is, vraag je? Vind je dat nou zelf niet ook een beetje domme vraag? Het gaat om de persoonsgegevens van jouw klanten en contacten en dat die niet zomaar op straat komen te liggen. Je moet je niet afvragen wat het risico is, je moet je afvragen hoe je zo goed mogelijk kunt voorkomen dat je een Facebook wordt! Maar vooruit dan, toch even over de handhaving. Wat kunnen we verwachten?
Onvoldoende budget om te handhaven
Terwijl sommige landen op 25 mei nog niet eens georganiseerd hebben dat hun toezichthouder juridisch gezien daadwerkelijk kan handhaven, hebben we in Nederland vooral een tekort aan mensen. En dat komt door het ontbreken van voldoende budget. De Autoriteit Persoonsgegevens heeft niet voldoende geld gekregen om het benodigde aantal personeelsleden aan te kunnen nemen.
Ze kúnnen juridisch gezien dus wel handhaven vanaf 25 mei 2018, maar de vraag naar hulp is groot en dat is ook een van de taken van de Autoriteit Persoonsgegevens, waardoor het handhaven op een laag pitje komt te staan.
LawStories in je mailbox?
“Volledig compliant zijn voor 25 mei is overambitieus”
Gerrit-Jan Zwenne wordt op dit moment gezien als dé privacaspecialist van Nederland en zei tegen Mr. Online het volgende over kunnen voldoen aan de AVG:
“De gedachte dat je als onderneming nu al volledig compliant kunt zijn is daarom naïef en overambitieus. Dat verzin ik hier niet van achter mijn bureau, maar dat is ook bij de Tweede Kamer bekend. Eerst zal de toezichthouder duidelijkheid moeten verschaffen over het beleid, of moet er rechtspraak komen, voordat überhaupt nagedacht kan worden over het beboeten van overtredingen.”
Ruimere boetebevoegdheid
De Autoriteit Persoonsgegevens krijgt binnen de AVG een ruimere boetebevoegdheid. De boetes zijn veel hoger en kunnen veel gemakkelijker worden opgelegd.
De boete is onder de Wet bescherming persoonsgegevens (Wbp) nog maximaal €820.000,- of 10% van de jaaromzet.
De boete wordt onder de AVG maximaal €10.000.000 of 2% van de wereldwijde jaaromzet van het afgelopen boekjaar voor het schenden van de procedureel verplichtingen en maximaal €20.000.000 of 4% van de wereldwijde jaaromzet van het afgelopen boekjaar voor het schenden van verplichtingen die de privacy van betrokkenen raken.
Onder de Wbp moest er sprake zijn van opzet of ernstig verwijtbare nalatigheid om meteen een boete op te kunnen leggen. In andere gevallen was eerst een bindende aanwijzing vereist. Dat komt erop neer dat de Autoriteit Persoonsgegevens bijna altijd eerst moest waarschuwen en pas als je de aanwijzingen niet op zou volgen op een boete kon rekenen.
Die waarschuwing verdwijnt.
De Autoriteit Persoonsgegevens mag meteen al boetes opleggen als jouw organisatie niet aan de regels voldoet. De hoogte van die boete zal wel altijd van veel factoren afhangen. Bijvoorbeeld de ernst van de overtreding, hoe erg zijn betrokkenen in hun privacybelangen geschaad, maar ook de omzet van de onderneming zou mee kunnen spelen.
Bovendien: de last onder dwangsom en de bestuursdwang blijven ook bestaan. Dat is in feite ook eerst een waarschuwing en pas als er niets verandert volgt er een boete. Die werken prima, dus de kans is groot dat de Autoriteit Persoonsgegevens daar grotendeels aan vast zal houden.
Of, nou ja….
Hulp bij naleving
De Autoriteit Persoonsgegevens heeft aangegeven zich vooral te richten op hulp bij naleving van de AVG en de aankomende Uitvoeringswet AVG. Ze zullen dus niet meteen boetes gaan opleggen en eigenlijk blijven werken zoals ze hiervoor ook deden.
Gewoon handhaven
Wel zullen ze alle klachten behandelen en zullen ze gewoon handhaven als de AVG wordt overtreden. Dat de AVG kort van kracht is, is dus geen excuus. Verschillende organisaties hebben ook gevraagd de handhaving van de AVG uit te stellen.
Dat is (uiteraard) niet gehonoreerd. We weten immers al sinds mei 2016 dat de AVG er is en dat de AVG vanaf 25 mei 2018 gehandhaafd zou gaan worden. Nog langer dan twee jaar om alles in een organisatie op orde te krijgen lijkt zelfs mij wat overdreven.
Wel handhaving op aanwezigheid FG’s
Alle overheidsorganen en organisaties die aan monitoring doen moeten een Functionaris Gegegevensbescherming (FG) hebben, even kort door de bocht gezegd. Een FG moet een onafhankelijke persoon zijn die adviseert over bescherming van persoonsgegevens en erop toeziet dat alles goed gaat, maar zich dus niet inhoudelijk bemoeit met het bepalen van beveilingsmaatregelen, processen en dat soort zaken.
De Autoriteit Persoonsgegevens heeft aangegeven wel streng te zullen handhaven op de aanwezigheid van een FG, wanneer die verplicht is.
Aleid Wolfsen bij BNR
In een interview met BNR zei Aleid Wolfsen altijd rekening te zullen houden met de omstandigheden van het geval. Hoe groot de onderneming is, welke persoonsgegevens er verwerkt worden, hoe goed de onderneming op weg is en meer van dat soort zaken. Vooral de laksheid zal worden beboet. Een klein foutje dat geen grote impact op de privacy is en dat duidelijk niet opzettelijk was, zal niet meteen beboet worden.
Belangrijk is dan natuurlijk wel om de aanwijzingen op te volgen en dat tijdig te doen. Doe je dat niet, kun je verzekerd zijn van een boete.
Lees er meer over bij NU.nl / BNR / Het FD / Privacy Barometer / Het FD
Meer weten over de AVG, verplichtingen en risico’s? Of zorgen dat je aan de AVG voldoet? Praat erover met Charlotte.
Mail voor Oploskoffie