We weten dat we heel gemakkelijk een hele hoge boete kunnen krijgen van de toezichthouder als we het verkeerd doen. En omdat we het nog niet zo snappen, zijn we heel erg bang. Is dat terecht?
Datalekken
Eerst even over wanneer je die boete kunt krijgen. De al lang bekende Meldplicht Datalekken is onverkort in de AVG overgenomen. Eigenlijk is de meldplicht een onderdeeltje van de AVG dat naar voren is geschoven. Meld je een datalek niet op tijd, dan kun je een boete opgelegd krijgen. En die boete kan erg hoog zijn. Dat is om ervoor te zorgen dat uw accountant gaat vragen of u uw procedures rondom datalekken en de gehele informatiebeveiliging op orde heeft. Op die manier hoeft de toezichthouder niet overal langs.
U overtreedt al de wet door geen idee te hebben wat u aan persoonsgegevens in huis heeft en welke risico’s u daarmee loopt. Als u dat wel weet maar u doet er niets mee, kan het zijn dat u welbewust verkeerd met privacy omgaat wat ook een wetsovertreding is. De boete kan dan oplopen tot 20 miljoen euro. Deze boete is zo hoog om ervoor te zorgen dat ook heel grote internationaal opererende firma’s op gaan letten. Het gaat hier natuurlijk om van die firma’s waar u klant bent omdat u hun gratis software gebruikt, bijvoorbeeld op uw mobieltje of om uw vakantiefoto’s op te slaan.
Autoriteit Persoonsgegevens
De toezichthouder is de Autoriteit Persoonsgegevens (AP). Deze stond vroeger bekend onder de naam College bescherming persoonsgegevens (CBP). Dit was een duistere club. Je kon er geen contact mee krijgen, je kon ze niks vragen maar ze konden wel ineens op de stoep staan om te zien wat je fout deed en dan was je de pineut. Ze waren toezichthouder pur sang.
Hun rol gaat veranderen. Ze krijgen er een heleboel taken bij, zoals voorlichting geven, vragen beantwoorden, sancties opleggen, meer toezicht houden en bewustzijn vergroten. En daarvoor wordt de toezichthouder groter.
Hoeveel groter? Ach, sinds het nieuwe regeerakkoord weten we dat ze er 7 miljoen bijkrijgen en dus slechts verdubbelen. Het is maar zeer de vraag of dat genoeg is om het uitgebreide takenpakket aan te kunnen.
Functionaris gegevensbescherming
Niet bang zijn dus? Nou, dat valt nog te bezien. In de AVG staat dat iedere instelling die persoonsgegevens verwerkt, moet beschikken over een functionaris gegevensbescherming (FG). Een FG is de lokale toezichthouder. Die houdt bij welke verwerkingen van persoonsgegevens plaatsvinden, of dat volgens de wet gebeurt, adviseert over verbeteringen en rapporteert aan de verantwoordelijke. Gaat er iets mis dan moet de verantwoordelijke dat melden aan de AP. Die zal dan eerst eens met de FG overleggen voordat hij of zij tot actie overgaat. Dat scheelt een hoop werk. Zo hoeft de AP zich niet echt druk te maken en is die schrale verdubbeling van de capaciteit wellicht dik in orde.
Moet u bang zijn voor de toezichthouder? Nee, u moet gewoon weten wat u aan gegevens in huis heeft, de risico’s kennen en er wat mee doen. Ook een kwestie van uw cliënten of patiënten recht in de ogen kunnen kijken.
Berend de Vries, managing partner Comfort-IA
Onder de AVG kunnen hoge boetes worden opgelegd: tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet van een organisatie als die hoger uitvalt. Daarnaast kunnen ook bestuurders een persoonlijke boete krijgen.