Weekly News

Miljoenenjacht gestart: boetes overtreding AVG

Begin dit jaar was er binnen veel organisaties grote ophef, want op 25 mei 2018 zou de Algemene verordening gegevensbescherming (AVG) van kracht worden. Dit betekende een reorganisatie van de systemen, processen en interne organisatie van bedrijven. Hoe goed hebben deze organisaties, vier maanden na dato, de regels van de AVG doorgevoerd?

Sinds de ingang van de AVG geldt dezelfde versterkte en uitgebreide privacywetgeving voor de hele Europese Unie (EU). Deze aangescherpte regelgeving moet ervoor zorgen dat mensen zichzelf, hun gegevens en hun privacy beter kunnen beschermen. De nieuwe wet legt meer verantwoordelijkheden bij organisaties neer. Zo moeten instellingen kunnen bewijzen dat zij geldige toestemming hebben gekregen voor het opslaan van gegevens.


Een ander voordeel van de AVG is dat alle Europese privacytoezichthouders dezelfde vergaande bevoegdheden hebben, waaronder de mogelijkheid om boetes tot 20 miljoen euro op te leggen. Je kunt een boete van deze omvang op je deurmat verwachten door de beginselen of grondslagen van de AVG te overtreden. Denk hierbij aan situaties waarbij de privacyrechten van betrokkenen worden overtreden. Dit kan voorkomen wanneer een organisatie persoonsgegevens gebruikt voor een ander doel dan waarvoor toestemming is gegeven, wanneer persoonsgegevens zijn gelekt of wanneer een verzoek tot verwijderen van de geregistreerde persoonsgegevens niet wordt gerespecteerd.


De Autoriteit Persoonsgegevens (AP) kan een boete van tien miljoen euro of een boete van 4% van de wereldwijde jaaromzet opleggen wanneer een organisatie niet voldoet aan de verplichtingen die de AVG oplegt, zoals de verantwoordingsplicht. Deze plicht stelt dat organisaties op papier moeten aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.


Een boete van deze proporties is tot op heden nog niet uitgedeeld, maar de AP is wel al begonnen met het uitvoeren van controles op de naleving van de privacywetgeving. Zo is bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of zij voldeden aan de wetgeving voor het aannemen van een functionaris gegevensbescherming (FG). Slechts twee ziekenhuizen hadden medio augustus nog verzuimd om deze actie te ondernemen. Zij kregen vier weken de tijd om alsnog een FG aan te stellen.

Een fout die veel bedrijven nu nog maken bij het handhaven van de AVG is dat zij direct contact met de FG niet mogelijk maken. Het is verplicht om een telefoonnummer of e-mailadres te vermelden waarop de FG te bereiken is. De controles van de AP bij ziekenhuizen en zorgverzekeraars toonden aan dat bijna een kwart van deze instanties dit nog niet doet. Ook dit moeten de instellingen binnen vier weken aanpassen.

Maar de miljoenenjacht gaat verder. Zo is de AP medio juli 2018 gestart met een verkennend onderzoek om te controleren of grote organisaties met meer dan 250 medewerkers de AVG goed naleven. Het zal gaan om een willekeurige steekproef van dertig grote organisaties uit tien private sectoren. Hier zal gecontroleerd worden of zij wel een register van verwerkingsactiviteiten bijhouden. Dit register bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken. Zal de jackpot daar eindelijk vallen?  

Feit

Mensen hadden altijd al het recht een organisatie te vragen om hun persoonsgegevens te verwijderen. Dankzij het recht op vergetelheid kunnen mensen nu ook eisen dat de organisatie de verwijdering van de persoonsgegevens doorgeeft aan organisaties die de gegevens doorgespeeld hebben gekregen. Dankzij het nieuwe recht op dataportabiliteit kunnen mensen van een organisatie hun persoonsgegevens in een standaardformaat ontvangen.

Delen

Journalist

Mandy Kraakman

Related articles