Impact En Risico

  • Post author:
  • Post category:Solutions

Kent u de AVG impact en risico’s voor uw organisatie?

De AVG stelt eisen aan uw bedrijfsvoering en heeft hier grote impact op. In de AVG is vastgelegd hoe uw organisatie o.a. moet omgaan met persoonsgegevens, beveiliging en AVG verzoeken. Niet hoe uw organisatie dit realiseert. Daarom kan uw organisatie hierin keuzes maken.

Hoge boetes en bestuurders hoofdelijk aansprakelijk

Met de AVG wetgeving kan de Autoriteit Persoonsgegeven hoge boetes opleggen als uw organisatie hier niet aan voldoet. Deze boete is maximaal 20 miljoen euro of 4% van de jaaromzet indien dit laatste cijfer tot een hoger bedrag leidt. Deze boetes worden per incident uitgedeeld. Bestuurders zijn hiervoor zelf hoofdelijk aansprakelijk.

Ook kunnen personen een schadevergoeding eisen als uw organisatie hen schade heeft berokkend bij het verwerking van hun persoonsgegevens.

Judges Or Auctioneer Gavel On The Dollar Cash Background, Top View, Close-Up. Concept For Corruption, Bankruptcy, Bail, Crime, Bribing, Fraud, Auction Bidding, Fines

Wanneer vallen persoonsgegevens onder de AVG?

De persoonsgegevens vallen onder de AVG als deze van zogenaamd natuurlijke personen (betrokkene) zijn. De persoonsgegevens van betrokkene zijn die van individuele natuurlijke personen in tegenstelling tot de gegevens van bedrijven.

Wat zijn persoonsgegevens?

Onder de AVG zijn persoonsgegevens alle gegevens die te herleiden zijn naar een betrokkene. Hieronder vallen bijvoorbeeld: naam, adres, e-mail, telefoonnummer, maar ook technische gegevens zoals IP-nummers wanneer die met andere gegevens terug te zijn herleiden naar een betrokkene.

Verantwoordelijkheidsgebied onder de AVG

Uw organisatie is er verantwoordelijk voor dat alle omgevingen waar zij persoonsgegevens verwerkt voldoen aan de AVG. In de praktijk betekent dit vaak dat de AVG eisen gelden voor uw gehele organisatie.

Deelt uw organisatie persoonsgegevens met andere organisaties voor uw dienstverlening? Dan is er een redelijk kans dat uw organisatie vanuit de AVG wordt gezien als zogenaamde verwerkingsverantwoordelijke en die andere organisaties als verwerker. Als uw organisatie de rol heeft als verwerkingsverantwoordelijke dan is zij er ook verantwoordelijk voor dat de verwerkers voor uw dienstverlening voldoen aan de AVG.

3D Character leaning on gavel. Isolated on white.

Wie moet de AVG boetes en schadevergoedingen betalen?

Wanneer uw organisatie niet voldoet aan de AVG kan de Autoriteit Persoonsgegevens uw organisatie boetes opleggen. Ook kunnen betrokken een schadevergoeding eisen als hen schade is berokkend bij het niet voldoen aan de AVG.

De eerste stap om te bepalen wie de boete of schadevergoeding moet betalen is het vaststellen in welke organisatie de overtreding of schade werd veroorzaakt (door niet te voldoen aan de AVG).

De tweede stap is om te bepalen wie de verwerkingsverantwoordelijke is voor die verwerking van persoonsgegevens.

Als de overtreding werd veroorzaakt in de organisatie van de verwerkingsverantwoordelijk, dan moet deze ze betalen.

Als de overtreding gemaakt werd in de organisatie van de verwerker en de verwerker heeft zich gehouden aan de activiteiten die met de verwerkingsverantwoordelijker waren vastgelegd, dan moet de verwerkingsverantwoordelijke ze betalen.

Als de overtreding werd veroorzaakt doordat de organisatie van de verwerking andere persoonsgegevensverwerkingsactiviteiten uitvoerde dan was vastgelegd met de verwerkingsverantwoordelijke, dan moet mogelijk de verwerker de boete of schadevergoeding betalen.

Elke organisatie is waarschijnlijk zowel verwerkingsverantwoordelijke en verwerker. Natuurlijk wel op verschillende bedrijfsprocessen.

Om het betalen van boetes te voorkomen is het op de eerste plaats dus belangrijk altijd te voldoen aan de AVG. Ook is het belangrijk in beeld te hebben waar uw organisatie verwerkingsverantwoordelijke en verwerker is.

Bewijsbaar voldoen aan de AVG

De AVG eist niet alleen dat uw organisatie voldoet aan de AVG. Zij eist ook dat uw organisatie dit altijd kan bewijzen. Als uw organisatie dit niet kan, dan is dat een overtreding van de AVG. En kan de Autoriteit Persoonsgegevens uw organisatie hiervoor een boete opleggen.

Een voorbeeld:

  • In specifieke situaties is uw organisatie verplicht om expliciete toestemmingen van betrokkenen te vragen voor de verwerking van hun persoonsgegevens. En moet hierbij een concreet doel voor opgeven. Deze toestemmingen moeten altijd schriftelijk/elektronisch vastgelegd zijn en bewaard worden. Uw organisatie moet namelijk deze als bewijsvoering in de toekomst kunnen overleggen.
  • Wat niet mag is dat bijvoorbeeld de email met de expliciete toestemming van de betrokkene verwijderd wordt, nadat deze toestemming door uw organisatie is verwerkt in bijvoorbeeld een CRM systeem. Hiermee zou uw organisatie namelijk de bewijsvoering van de verkregen toestemming verwijderen en daarmee de bewijsvoering.
3d people – man, person with a pencil and check

Met meer grip minder risico’s

Met meer grip op uw AVG aspecten in uw bedrijfsvoering loopt uw organisatie een minder groot risico op boetes en eisen voor schadevergoedingen. Meer grip vereist mogelijk wel meer werk bij de AVG implementatie. Uitgebreidere implementatie van de AVG zal waarschijnlijk ook resulteren in efficiëntere uitvoering van AVG activiteiten. Elke organisatie zal daarom zijn eigen afwegingen maken bij het implementatie van de AVG. Daarom stemmen wij de AVG implementatie en de te maken keuzes af met onze klanten. Met onze AVG expertise kunnen onze klanten de keuzes maken die bij hun organisaties passen.

Wilt u hulp bij uw AVG activiteiten?

Wilt uw organisatie ontzorgd worden op het gebied van de AVG? Neem contact met ons op. Wij bespreken graag hoe wij u hiermee kunnen helpen.