Hoewel de wet omtrent de bescherming van persoonsgegevens op 25 mei 2018 ingegaan is, hebben nog niet alle bedrijven hun zaken hiervoor op orde. Dit is vreemd, aangezien een privacy verklaring voorbeeld gratis te downloaden is en het hebben van zo’n verklaring verplicht is. Dus hoewel de wet, bekend onder de naam AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation), al meer dan 3 jaar geleden ingevoerd is, lopen er nog steeds bedrijven het risico op een boete. Hoe het er nu voor staat, welke boetes uitgedeeld zijn en welke zaken je op orde moet hebben, leggen wij je hieronder uit.
De boete die de AP (Autoriteit Persoonsgegevens) kan opleggen, is maximaal 4% van je jaaromzet of 20 miljoen euro. De boeten worden, net als bijvoorbeeld een verkeersboete, geïnd door het CJIB. Hiermee kun je zo’n boete op je deurmat zien liggen, ineens een stuk beter voorstellen. Ondernemers die hun privacyverklaring nu nog niet geregeld hebben, zijn misschien in de veronderstelling dat de AVG nauwelijks nageleefd wordt, maar het tegendeel is waar. Om een paar voorbeelden te geven, lees je de volgende alinea’s.
Op 22 juli 2021 kreeg TikTok een boete van maar liefst 750.000 euro omdat ze de privacy van kinderen zouden schenden. Het UWV moest een boete betalen van 450.000 euro vanwege onveilig versturen van groepsberichten. Booking.com meldde een datalek te laat en kon 475.000 euro aftikken. ‘Ach’ zul je denken, ze pakken alleen grote organisaties. Dit is echter niet waar.
Vrijwel ieder bedrijf verwerkt persoonsgegevens en moet een privacy verklaring hebben. De AVG controleert hier actief op. Een orthodontiepraktijk moest op 10 juni 2021 een bedrag van 12.000 betalen voor een onveilige patiëntenwebsite. Een bedrijf kreeg een boete voor het verzamelen van vingerafdrukken van personeel. Het bedrag? Maar liefst 725.000 euro! Ook de Koninklijke Nederlandse Lawn Tennis Bond, de KNLTB, moest een bedrag van 525.000 euro overmaken. Deze boetes laten zien dat het menens is en dat je als bedrijf je juridische en privacy documenten tegenwoordig op orde moet hebben.
Naast de privacyverklaring zijn er andere stappen die je moet nemen in het beveiligen van de data en persoonsgegevens. Verstrek jij persoonsgegevens aan derden? Een goed voorbeeld is een webshop en de transporteur die de adressen te zien krijgt. Maar vrijwel ieder bedrijf heeft hiermee te maken. Denk aan je IT-specialist of websitebouwer die de database of mail in kan zien. Zo’n bedrijf moet je een geheimhoudingsverklaring laten tekenen. Een geheimhoudingsverklaring is beter bekend onder de Engelse afkorting NDA (Non Disclosure Agreement). In dit document leg je vast welke data geheim is en dus niet gedeeld mag worden.
Het is verstandig om af te spreken bij wie verantwoordelijkheden liggen. Wat als jouw website gehackt wordt, is dan jouw websitebouwer verantwoordelijk of ben jij, als eigenaar van de site, degene die verantwoordelijk is. Ga ook na welke data nodig is en welke niet. Bij het volgen van de stappen voor jouw AVG-verwerkersovereenkomst kom je alle punten tegen. Over het algemeen kun je data het beste zo kort mogelijk bewaren en daarna wissen of anonimiseren.
