Met het eerste jaar van de AVG achter de rug is het tijd om de balans op te maken. Wat vond er het afgelopen jaar plaats? Welke wijzigingen zijn er doorgevoerd? En wat doet de Autoriteit Persoonsgegevens momenteel?
Zit de Autoriteit Persoonsgegevens stil of niet?
Een veelgehoorde opmerking is dat er nog geen boetes zijn opgelegd door de Autoriteit Persoonsgegevens (AP), maar dat betekent niet dat de AP heeft stilgezeten.
De AP heeft onder meer:
- Haar boetebeleidsregels aangepast aan de AVG en gepubliceerd.
- Onderzoeken gedaan naar bijvoorbeeld Microsoft, Facebook, de belastingdienst en de Kamer van Koophandel (leidend tot aanpassingen in de werkwijze van die partijen).
- Controles uitgevoerd: aanstelling van een Functionaris voor de Gegevensbescherming door overheidsinstanties, zorginstellingen en banken, register van verwerkingen opgevraagd bij 30 organisaties, privacy beleid opgevraagd bij 53 organisaties (bloedbanken, IVF-klinieken en politieke partijen), verwerkersovereenkomsten opgevraagd bij 30 organisaties en documentatie inzake datalekken opgevraagd bij 26 overheidsorganisaties.
De AP deed, mede op basis van bovengenoemde controles, over diverse onderwerpen aanbevelingen. Bijvoorbeeld over de inrichting van het privacy beleid, over controle op alcohol, drugs en geneesmiddelen op de werkvloer, registratie van datalekken en de inrichting van het register van verwerkingen.
Toezichtkader
Voor 2018-2019 heeft de AP een toezichtkader opgesteld, de AP richt zich met name op:
- Bevorderen van de naleving van de privacywetgeving (reageren op klachten; voorlichting geven, gesprek aangaan, onderzoek doen en optreden)
- Controleren van de naleving (en ja, het MKB komt ook aan de beurt!)
- Risicogericht toezicht (focus op informatieplicht en op gegevensbeveiliging bij overhead, zorg en datahandelaren)
- Datalekken: het belang van tijdig melden van datalekken is groot, niet tijdig melden werkt boeteverhogend
De verwachting is dat de adviserende rol van de AP komende tijd verandert in een handhavende rol en dat ook het MKB daar meer van gaat merken.
Hoe kan ik mijn onderneming voorbereiden?
Enkele aandachtspunten en quick wins waar u rekening mee kunt houden zijn:
- Zorg ervoor dat uw documentatie op orde is. De AVG vereist dat u nakoming kunt aantonen en controle van de diverse voorgeschreven documenten is heel eenvoudig.
- Zorg dat uw privacy beleid op orde is: de AVG kent de AP een potentieel gevaarlijker middel toe dan het opleggen van boetes: artikel 58 geeft de mogelijkheid tot een tijdelijke of definitieve verwerkingsbeperking of zelfs verwerkingsverbod. Een verbod om gegevens te werken kan een veel desastreuzere werking hebben dan het opleggen van een boete.
- Maak gebruik van de tools die de AP biedt aan het MKB. De AP is op 24 mei gestart met een nieuwe voorlichtingscampagne, gericht op het MKB. Op hulpbijprivacy.nl publiceert de AP nuttige informatie. De eerste maand gaat over: ‘hoe faciliteer je als mkb-er de privacyrechten van je klanten?’. Volgende onderwerpen zijn: beveiliging van persoonsgegevens, verwerkersovereenkomsten, verwerking van gegevens van (zieke) werknemers en de grondslagen voor verwerking van persoonsgegevens.
Meer weten over privacy- en datarisico's? Lees meer artikelen op onze themapagina. Of neem contact op met onze bedrijfsjuridisch adviseurs.
