Wie dacht dat het thema ‘privacy’ na 25 mei van dit jaar niet langer actueel zou zijn, heeft het mis. Privacy is hot! Althans, dat zou het moeten zijn, maar helaas is het in de praktijk voor veel organisaties nog altijd een heet hangijzer. Waar staan we en, wellicht nog belangrijker, wat is er nog te verwachten?
AVG ook hobbel voor de overheid
Op 25 mei jl. is de Algemene verordening gegevensbescherming (AVG) definitief van kracht geworden. Deze wet vervangt de Wet bescherming persoonsgegevens en heeft tot doel dat er binnen Europa één uniforme uitwisseling van persoonsgegevens kan plaatsvinden, waarbij organisaties meer aandacht hebben voor de privacy van iedere betrokkene. Er wordt heel nadrukkelijk gesproken van organisaties en niet slechts van bedrijven. Ook de overheid moet immers aan de nieuwe privacyregels voldoen.
Dat privacy ook voor de overheid een heet hangijzer kan zijn, blijkt wel uit het ultimatum dat de Autoriteit Persoonsgegevens de Belastingdienst heeft gesteld. De Belastingdienst stelt het btw-nummer voor de ZZP’er/eenmanszaak immers nog altijd samen door het burgerservicenummer (BSN) van de ondernemer te gebruiken. Dit is onder de AVG niet langer toegestaan. Het BSN is immers zeer kwetsbaar; wie over dit nummer beschikt, kan gemakkelijk de identiteit van deze persoon stelen. De Autoriteit Persoonsgegevens noemt zelf het voorbeeld dat met behulp van persoonsgegevens een auto kan worden gehuurd, waarna er bij schade bij de onwetende particulier wordt aangeklopt. Een ZZP’er krijgt door het gebruik van het BSN in het btw-nummer niet de gelegenheid om zijn/haar identiteit voldoende te beschermen, omdat hij of zij wordt geacht het btw-nummer beschikbaar te stellen. De Belastingdienst is tot 1 januari 2019 in de gelegenheid gesteld om dit te wijzigen. Gebeurt dit niet, dan volgen er waarschijnlijk handhavende sancties.
Focus Autoriteit Persoonsgegevens
De focus van de Autoriteit Persoonsgegevens ligt echter niet uitsluitend op de overheid. Eerder al werden er controles aangekondigd in 10 branches, namelijk de bouw, communicatie, financiële dienstverlening, handel, horeca, industrie en metaal, reisorganisatie, waterleidingsbedrijf, zakelijke dienstverlening en zorg. Tijdens deze controles gaat de Autoriteit Persoonsgegevens in eerste instantie na of er een verwerkingsregister beschikbaar is. Het verwerkingsregister vormt immers de eerste stap in een bedrijfsvoering die AVG-compliant is. De aanwezigheid van dit register zegt daarom veel over de mate waarin een organisatie het thema privacy serieus neemt, aldus de Autoriteit Persoonsgegevens.
Dwangsommen als stok achter de deur
Wellicht is uw eerste stap niet geweest het opstellen van een verwerkingsregister. Veel bedrijven zijn gestart met het plaatsen van een privacy-statement op de website, zodat het voor de buitenwereld lijkt alsof men AVG-compliant is. Vervolgens hebben zij moeite met de verdere invulling van alle overige documenten, richtlijnen en maatregelen. Daar komt bij dat er geen euro aan al dat werk wordt verdiend, terwijl er voldoende declarabel werk ligt dat om aandacht vraagt. Hierdoor blijven veel AVG-maatregelen liggen. Jammer, want door nu tijd en energie te investeren in een goede basis, voorkomt u dat u nog vele stappen moet zetten op het moment dat u gevraagd wordt om openheid van zaken te geven omtrent uw gegevensverwerkingen. Zoals een bankinstelling die door een klant werd benaderd met het verzoek om inzage te krijgen in diens persoonsgegevens. Normaliter moet er binnen 4 weken op een dergelijk verzoek worden gereageerd. In dit geval kwam er echter geen (volledige) reactie en is de Autoriteit Persoonsgegevens gevraagd om tot handhaving over te gaan. Dit is gebeurd. De Autoriteit Persoonsgegevens heeft de bank een dwangsom van € 12.000 per week opgelegd als niet alsnog de gegevens werden verstrekt. De bank had vervolgens 4 weken de tijd nodig om de klant de gevraagde gegevens toe te zenden. Dit heeft de bank dus € 48.000 gekost. Deze dwangsommen liggen aanzienlijk hoger dan de investering die zal moeten worden gedaan om een onderneming AVG-compliant te maken.
Boetes vanaf 2019?
Voorgaande situatie had nog vervelender voor de bank kunnen uitpakken, als de Autoriteit Persoonsgegevens ook een boete zou hebben opgelegd. De boete mag maximaal € 20 miljoen of 4% van de wereldwijde omzet bedragen. Deze bedragen zijn bewust zo hoog; ook grote bedrijven moeten immers worden geraakt door een boete om een wijziging in de bedrijfsvoering te kunnen afdwingen. Onder de Wet bescherming persoonsgegevens was de maximale bestuurlijke boete € 4.500. Een groot bedrijf werd hierdoor niet geraakt en kon dit als ‘bedrijfsrisico’ verdisconteren in de prijs.
Voorlopig zijn er geen boetes opgelegd, maar de verwachting is dat dit vanaf 2019 zal veranderen. Dan hebben organisaties immers voldoende de gelegenheid gehad om de verplichtingen uit de AVG door te voeren in de dagelijkse bedrijfsvoering. Denk aan het voorbeeld van de Belastingdienst, zoals hiervoor werd genoemd. Of ook kleinere organisaties vanaf dat moment worden beboet, zal moeten blijken. Echter, u zal maar een klant hebben die heeft vernomen dat er bedragen van € 48.000 te ‘verdienen’ zijn met het indienen van een inzageverzoek. Onder de Wet openbaarheid bestuur zijn particulieren voor minder dagelijks in de pen geklommen.
Tot slot
Mocht u de deadline van 25 mei jl. hebben gemist, zorg er dan voor dat u alsnog zo spoedig mogelijk AVG-compliant wordt. Het zal u maar gebeuren dat u een akkefietje hebt met een (voormalige) klant of ex-werknemer die een klacht over u indient bij de Autoriteit Persoonsgegevens. Of de klacht terecht is of niet, die klacht leidt er wel toe dat negatieve aandacht op uw organisatie wordt gevestigd. U moet er niet aan denken dat dit ook nog leidt tot dwangsommen en boetes.
Melanie Hermes advocaat arbeidsrecht | AVG specialist | specialist aansprakelijkheid en verzekeringen | trainer verbonden aan Fiscount
Wellicht ook interessant: Cursus “Hoe help jij jouw cliënten met de AVG?” Voor meer informatie klik hier.
Geef een antwoord