Nieuws

Europese privacywet AVG: meer verantwoordelijkheden en hogere boetes

By 16 juni 2017 No Comments

Facebook handelt in strijd met de Nederlandse privacywetgeving. Dit heeft de Autoriteit Persoonsgegevens geconcludeerd in haar onderzoeksrapport naar de verwerking van persoonsgegevens door Facebook. Facebook zou onder meer haar gebruikers onvolledig informeren over het gebruik van persoonsgegevens. De Autoriteit Persoonsgegevens kan Facebook nu een (voorwaardelijke) boete opleggen van enkele miljoenen. De miljoenenboete die Facebook nu te wachten staat, is echter een schijntje met wat er vanaf volgend jaar kan worden opgelegd. Het zal dan in het geval van Facebook gaan om miljarden!

Vanaf 25 mei 2018 geldt de nieuwe Europese privacyverordening de ‘General Data Protection Regulation’ (GDPR), in het Nederlands vertaald: de ‘Algemene verordening gegevensbescherming’ (AVG). Deze verordening geldt vanaf die datum in de gehele Europese Unie. De huidige ‘Wet bescherming persoonsgegevens’ komt dan te vervallen. De nieuwe wetgeving heeft tot gevolg dat ondernemers meer verantwoordelijkheden krijgen en de Autoriteit Persoonsgegevens steviger bevoegdheden, zoals de bevoegdheid tot het opleggen van boetes tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet indien dat bedrag hoger is.

“Om hoge boetes te voorkomen is het voor ondernemers van belang tijdig hun databescherming op orde te hebben, zodat zij 25 mei 2018 aan de AVG voldoen.”

Op dit moment kan de Autoriteit Persoonsgegevens nog niet direct een boete opleggen, maar slechts een last onder dwangsom. Dit houdt in dat de onderneming eerst een termijn wordt gesteld waarbinnen zij de kans krijgt de overtreding te herstellen. Alleen als het bedrijf de overtreding niet (tijdig) hersteld, volgt de boete. Dit wordt vanaf volgend jaar anders, dan kan de Autoriteit Persoonsgegevens direct een boete opleggen.

De AVG geldt voor alle ondernemers (ook de zzp’er en de kleine mkb’er) die persoonsgegevens verwerken. Bedrijven hoeven straks niet meer aan de Autoriteit Persoonsgegevens te melden dat zij persoonsgegevens verwerken[1], maar daarvoor in de plaats krijgen zij een documentatieplicht. Deze plicht houdt in dat zij met documenten moeten kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen. Bovendien kunnen zij verplicht zijn een privacy impact assessment (PIA) uit te voeren of een functionaris voor de gegevensbescherming (FG) aan te stellen.

Om hoge boetes te voorkomen is het voor bedrijven van belang om zich nu voor te bereiden op de AVG. Neemt u gerust contact met ons op voor meer informatie over de nieuwe privacywetgeving en wat dit betekent voor uw onderneming.

Hanna Hoegee, hhoegee@bilt.nl

[1] Het melden van datalekken is niet hetzelfde als het melden van gegevensverwerking. De meldplicht datalekken vervalt niet en blijft ook na 25 mei 2018 van kracht.