Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Het doel van de AVG is om de privacywetgeving uit te breiden en betrokkenen te beschermen op het gebied van privacy. Hierdoor krijgen betrokkenen meer rechten. De regels van de AVG gelden voor alle bedrijven in Europa, en bedrijven buiten Europa die gegevens van Europese burgers verwerken. Onder verwerken verstaan we iedere actie die op persoonsgegevens uitgevoerd wordt. Hierbij kun je bijvoorbeeld denken aan het verzamelen of opslaan van persoonsgegevens. Als een bedrijf zich niet aan de regels van de AVG houdt, dan kan er een boete opgelegd worden. Deze boete kan voorkomen worden door AVG-data compliance. Wat AVG-data compliance precies is en wat de gevolgen van het niet naleven van de regels van de AVG zijn, zal in deze blog uitgelegd worden.
Wat is AVG-data compliance
Algemene beginselen van de AVG
Gevolgen van het breken van de AVG-regels
AVG-data compliance houdt in dat bedrijven zich aan de regels van de AVG houden. Deze regels houden voornamelijk in dat het bedrijf de verwerking van gegevens consistent moet monitoren en de betrokkenen moet informeren waarvoor de gegevens gebruikt worden. In volgende blogs zullen alle eisen die de AVG aan bedrijven stelt, behandeld worden. Kort samengevat vallen deze eisen onder de volgende onderwerpen:
Verwerking van persoonsgegevens: binnen de AVG zijn er verschillende categorieën van persoonsgegevens, en je moet als bedrijf op verschillende manieren met deze categorieën omgaan. Zo moet je bijvoorbeeld de ‘normale’ persoonsgegevens anders behandelen dan de zogenaamde ‘bijzondere’ persoonsgegevens.
Anonimiseren en pseudonimiseren: twee manieren van het verwerken van persoonsgegevens zijn anonimiseren, waarbij je bepaalde gegevens niet herleidbaar naar een persoon maakt, en pseudonimiseren, waarbij je de gegevens zodanig verwerkt dat de betrokkene niet traceerbaar is. Het verschil tussen de twee is dat gegevens anonimiseren onomkeerbaar is en pseudonimiseren wel omkeerbaar is.
Rechten van betrokkenen: na de invoering van de AVG hebben betrokkenen veel nieuwe rechten gekregen, waarop ze zich kunnen beroepen. Deze rechten zijn bijvoorbeeld het recht op inzage, het recht op gegevenswissing of het recht om bezwaar te maken.
Bewaartermijn persoonsgegevens: de AVG stelt geen concrete bewaartermijn voor persoonsgegevens, toch zijn er een aantal vuistregels waar je je als bedrijf aan kunt houden om persoonsgegevens tijdig te verwijderen.
Data Protection Impact Assessment en privacy contactpersoon: Dit assessment is bedoeld om vooraf te kunnen bepalen wat het risico van een datalek is. Ook is hiervoor een aanspreekpunt over privacyzaken binnen het bedrijf handig.
Privacy by design en privacy by default: dit is het principe dat er tijdens ontwikkeling van een product, bijvoorbeeld een website, al rekening gehouden moet worden met privacy en het principe dat standaardinstellingen al privacy-vriendelijk horen te zijn.
Datalekken
indien de situatie zich voordoet dat er sprake is van een datalek binnen een bedrijf, moet er een protocol aanwezig zijn dat omschrijft welke maatregelen genomen moeten worden en of het incident bij de Autoriteit Persoonsgegevens gemeld moet worden.
Het doel van de AVG is dat bedrijven voorzichtig omgaan met de gegevens van personen. Hiervoor zijn zes beginselen in de AVG gesteld, waaraan de verwerking van persoonsgegevens moet voldoen. Samenvattend moeten de gegevens op een transparante, rechtmatige en behoorlijke manier verwerkt worden (1). Daarnaast moeten de gegevens voor gerechtvaardigde doeleinden verzameld en verwerkt worden (2). Het moet duidelijk gemotiveerd zijn waarom het van belang is om de gegevens te verzamelen en verwerken (3), en er moeten niet meer gegevens verwerkt worden dan voor het doel nodig is (4). De gegevens mogen niet naar de persoon herleidbaar zijn nadat de gegevens niet meer voor het doeleinden nodig zijn (5). Tot slot moeten de gegevens up-to-date gehouden worden en goed beveiligd zijn (6).
Als een bedrijf niet aan de regels van de AVG voldoet, kan dit streng beboet worden. De AVG kent twee categorieën van inbreuken op privacy. Deze categorieën zijn de ‘minder ernstige inbreuken’ en ‘ernstige inbreuken’. De vastgestelde boete voor de minder ernstige inbreuken kan oplopen tot €10 miljoen of 2% van de jaarlijkse omzet van het bedrijf, welk dan ook hoger is. De vastgestelde boet voor de ernstigere inbreuken kan oplopen tot €20 miljoen of 4% van de jaarlijkse omzet van het bedrijf, welk dan ook hoger is. In Nederland heeft de Autoriteit Persoonsgegevens in maart 2020 een boete van €525.000,- aan de Koninklijke Nederlandse Lawn Tennisbond opgelegd vanwege het verstrekken van persoonsgegevens van leden aan sponsors. De boetes zijn bedoeld om bedrijven te confronteren met de gevolgen bij overtreding van de regels van de AVG en zodat bedrijven maatregelen nemen om de privacywetgeving na te leven.
In deze blog is ter sprake gekomen wat AVG-data compliance is, wat de algemene beginselen van de AVG zijn en wat de gevolgen van het niet-nakomen van de regels van AVG zijn. Wilt u meer weten over de AVG-data compliance? In de volgende blog wordt de verwerking van persoonsgegevens behandeld.