De AVG-hype

Een jaar vliegt toch ook zo om he? 25 mei 2018, dé datum waarop half Nederland over elkaar heen viel. Want de AVG zou in werking treden. Stiekem was deze wet al in 2016 in werking getreden, maar zou het toezichtsorgaan (Autoriteit Persoonsgegevens), vanaf 25 mei 2018 gaan toezicht houden. Anyway, zelden heeft een wet zoveel impact gemaakt op bedrijvig Nederland.

Nu de wet een jaar wordt gehandhaafd, vraag jij je wellicht af welke impact deze wet nu daadwerkelijk heeft, wat er het afgelopen jaar is gebeurd op het gebied van de AVG en vooral wat de kans voor jou is op (hoge) boetes.

De AVG in vogelvlucht

Als je onder een steen hebt geleefd het afgelopen jaar of gewoon nog niets hebt gedaan om deze nieuwe  privacywet in je business te implementeren, en je wilt overzichtelijk de belangrijkste zaken weten, check dan vooral nog even de highlights in de YouTube businessvideo die ik met Annic ten Duis opnam.

AVG-facts op een rijtje

Ik krijg nog steeds met enige regelmaat van ondernemers de vraag of de AVG écht grote consequenties heeft. Het antwoord is kort en krachtig: Ja!

Als we het afgelopen jaar (en daarvoor) eens de revue laten passeren, valt uit de media af te leiden wat de (grote) acties zijn geweest waar de privacywaakhond van Nederland zich onder andere mee bezig heeft gehouden:

  1. Steeksproefsgewijs onderzoek bij overheidsorganen, banken, zorginstellingen, verzekeraars, ziekenhuizen, of zij de verplichte Functionaris Gegevensbescherming (FG) hebben;
  2. Kwaliteitsonderzoek bij overheidsorganen naar de datalekregisters;
  3. Opgelegde last onder dwangsom Nationale Politie inzake beveiligingsaanscherping;
  4. De Belastingdienst is verplicht de BTW-nummers aan te passen (onrechtmatig toepassen van BSN);
  5. Boete van 600.000 euro aan Uber B.V. omdat ze niet binnen 72 uur na een datalek een melding hebben gedaan;
  6. Steekproeven bij grote private organisaties op verplichting verwerkingsregister;
  7. De Kamer van Koophandel is verplicht gesteld privacyaanpassingen te doen (bijvoorbeeld aan het verkopen van gegevens).

Uit dit lijstje valt af te leiden dat de Autoriteit op de tour zit om voornamelijk toezicht te houden op de grote organisaties.
Oorzaak: Zij hebben te weinig capaciteit om toezicht te houden op kleine organisaties, zoals ZZP’er en MKB’ers. Dit gaat het aankomende jaar, dus van 2019 tot 2020, in elk geval de koers zijn.

De storm is gaan liggen

“Yes, het komende jaar zit ik safe!”, hoor ik je denken. Dat begrijp ik. Toch kunnen er redenen zijn om je zaken ook nu op orde te hebben en houden.

  1. Ook al heb je jouw bedrijf afgelopen jaar AVG-proof ingericht, wees je er dan van bewust dat een check-up heel verstandig kan zijn. Je bent misschien met personeel gaan werken, hebt nieuwe systemen aangeschaft, bent gaan werken met freebees/gratis weggevers.
  2. Het kan ook zijn dat jouw bedrijf een groeispurt heeft doorgemaakt. Ik heb in de afgelopen tijd meerdere kleine ondernemers geholpen op het gebied van de AVG, die als startup in zeer korte tijd een jaaromzet hadden van 500.000 of meer dan 1 miljoen euro. Je ligt dan meteen onder de loep van de Belastingdienst, maar mogelijk dus ook bij een Autoriteit Persoonsgegevens.

Hoogte van de boete

Wat kunnen nou die consequenties zijn als jouw bedrijf niet voldoet aan de AVG? Je kunt onder meer corrigerende maatregelen opgelegd krijgen, maar dus ook boetes, zoals uit bovenstaande opsomming is gebleken.

Heel recent zijn de nieuwe Boetebeleidsregels openbaar gemaakt. Wel zo handig om te weten bij welke overtreding je welke boete kunt verwachten, niet?

In de wet staat namelijk alleen maar dat een boete:

  • maximaal 10 miljoen of 2% van de totale wereldwijde jaaromzet is als de verwerkingsverantwoordelijke de verplichtingen niet of onvoldoende naleeft;
  • maximaal 20 miljoen of 4% van de totale wereldwijde jaaromzet als de verwerkingsverantwoordelijke de beginselen en grondslagen van de AVG overtreedt.

In het beleid staan vervolgens categorieën van overtredingen die zijn opgedeeld in bandbreedtes. Het voert te ver om alle bepalingen uit de AVG aan te halen en welke categorie hier nu precies aan hangt. Maar als voorbeeld: het onrechtmatig verwerken van bijzondere persoonsgegevens (ras, politieke voorkeur, seksuele geaardheid, financiële gegevens) wordt zwaarder beboet dan het onrechtmatig verwerken van ‘gewone’ persoonsgegevens (naam, adres, email, telefoonnummer).

Per bandbreedte zijn er basisboetes die bijvoorbeeld in ‘categorie I’ begint bij 100.00 euro en in ‘categorie IV’ in 725.000 euro. Deze basisboetes zijn het uitgangspunt per individueel geval, maar kunnen worden verlaagd of verhoogd aan de hand van de opgestelde richtsnoeren.

Richtsnoeren

De hoogte van de boete wordt verder bepaald aan de hand van onderstaande richtsnoeren, die mee worden gewogen bij het bepalen van de uiteindelijke boete:

  • Type overtreding;
  • De ernst ervan;
  • De omvang ervan;
  • De duur;
  • Of er sprake is van opzet (de mate van verwijtbaarheid);
  • Of er sprake is van een recidivist (doe je dit aan de lopende band)?;
  • Het aantal betrokkenen;
  • De draagkracht (financiële omstandigheden).

Deze laatste is met name voor de ZZp’ers en MKB’ers van belang! De Autoriteit maakt dus per individueel geval een afzonderlijke beoordeling wat de hoogte moet zijn van een boete.

Any questions?

Mocht je vragen hebben naar aanleiding van dit artikel of je wilt eens met mij bespreken in hoeverre jouw bedrijf voldoet, stel ze gerust onder deze post of mail mij op kim@hendriks-meesteradvies.nl
Een gratis inspiratiegesprek mag je uiteraard ook altijd aanvragen. Ik help je graag!