Vanaf 2016, het jaar waarin de AVG werd geïntroduceerd, is gegevensbescherming uitgegroeid van iets dat enigszins als een bijzaak wordt gezien, tot een essentiële overweging voor elk bedrijf dat persoonsgegevens verwerkt. Het Verenigd Koninkrijk heeft sindsdien de EU verlaten, wat betekent dat elk bedrijf dat de persoonsgegevens van inwoners van het Verenigd Koninkrijk verwerkt, nu moet voldoen aan de Britse GDPR en de Data Protection Act 2018 (DPA).
Gegevensbeschermingswetten hebben het doel om personen meer controle te geven over hun persoonsgegevens door hen een aantal rechten te geven, waaronder het recht om te worden geïnformeerd over hoe bedrijven hun gegevens gebruiken; om toegang te krijgen tot de gegevens die over hen worden verwerkt; en in sommige gevallen om ze te laten wissen.
Wetgeving op het gebied van gegevensbescherming streeft er ook naar dat bedrijven de verwerkte persoonsgegevens adequaat beschermen. Naast de naleving van de hierboven genoemde rechten van personen, leggen de AVG dus nog meer beperkingen en verplichtingen op aan het gebruik van persoonsgegevens. Deze regels zijn opgebouwd rond zeven kernbeginselen:
- Rechtmatigheid, billijkheid en transparantie
- Beperking van het doel
- Gegevensminimalisering
- Nauwkeurigheid
- Opslagbeperking
- Integriteit en vertrouwelijkheid
- Verantwoordingsplicht
Het zevende beginsel, “verantwoordingsplicht”, raakt de kern van de gegevensbeschermingswetgeving. Dit legt de verantwoordelijkheid bij elk bedrijf om niet alleen de wetgeving na te leven, maar ook – en dat is van cruciaal belang – aan te tonen dat de wetgeving wordt nageleefd. Hoewel het aantonen van de naleving van deze beginselen waarschijnlijk veel tijd en financiële investeringen zal vergen, zullen de kosten van niet-naleving waarschijnlijk moeilijker te verteren zijn.
De kosten van niet-naleving
De AVG kent een tweeledig boetestelsel. Voor een minder ernstige inbreuk op de AVG kunt u een boete krijgen tot 10 miljoen euro of 2% van uw jaaromzet. Voor een ernstiger overtreding verdubbelt dit tot 20 miljoen euro of 4% van de jaaromzet. Boetes voor gegevensinbreuken liggen in het hogere segment, maar er kunnen extra kosten ontstaan door schadebeperking na inbreuk en door rechtszaken als de betrokkenen gerechtelijke stappen ondernemen.
Niet-naleving kan uw bedrijf ook de reputatie bezorgen dat het slecht omgaat met de persoonsgegevens van zijn klanten – een reputatie die moeilijk te doorbreken kan zijn. Omgekeerd kunnen bedrijven die de regelgeving naleven, hun reputatie versterken als een bedrijf dat zich bekommert om de persoonsgegevens van hun werknemers/klanten/klanten, en tevens eventuele handhavingsacties of boetes vermijden.
Wat betekent dit alles voor uw bedrijf?
U moet zich op zijn minst bewust zijn van het volgende:
- Doorzichtigheid
De betrokkenen hebben het recht om te worden geïnformeerd over de verwerking van hun persoonsgegevens. Het is daarom van essentieel belang dat u beschikt over een uitgebreid privacybeleid dat gemakkelijk toegankelijk is. Wat u daarin moet opnemen, wordt voorgeschreven in de artikelen 13 en 14 de AVG.
- In kaart brengen van gegevens
Voordat u een doeltreffende strategie voor gegevensbescherming kunt opstellen, is het essentieel dat u weet welke categorieën persoonsgegevens u verwerkt, waarom u de gegevens nodig hebt, wie er toegang toe heeft en hoe lang u ze bewaart. Aan de hand van een gegevensonderzoek kunt u nagaan hoe u in uw bedrijf persoonsgegevens verwerkt, zodat u risicogebieden kunt identificeren en vervolgens kunt beheren.
- Gegevensinbreuken melden
Volgens de AVG moeten gegevensinbreuken die ernstig genoeg zijn om aan het Autoriteit Persoonsgegevens (AP) te worden gemeld, binnen 72 uur nadat u er kennis van hebt gekregen, worden gemeld. Dit tijdsbestek verandert niet in het weekend of op feestdagen, dus een efficiënte meldingsprocedure voor inbreuken is essentieel. Het is ook belangrijk dat alle werknemers worden opgeleid om te begrijpen wat een inbreuk is en waar ze die moeten melden.
- Rechten van betrokkenen
Bedrijven hebben één kalendermaand de tijd om te voldoen aan geldige verzoeken om rechten vanaf het moment dat ze zijn ontvangen. Het is dus belangrijk dat u een vooraf bepaalde procedure hebt om deze efficiënt af te handelen.
- Accountability
De AVG stelt de verantwoordelijken voor de gegevensverwerking en de verwerkers hoofdelijk aansprakelijk voor niet-naleving. Dit betekent dat als u als voor de verwerking verantwoordelijke persoonsgegevens doorgeeft aan een derde verwerker, u ervoor verantwoordelijk bent dat deze laatste de wet naleeft.