1,5 jaar AVG: de soep wordt heter gegeten dan u denkt

1,5 jaar AVG: de soep wordt heter gegeten dan u denkt

U heeft een privacybeleid opgesteld, een Functionaris Gegevensbescherming aangewezen en verwerkersovereenkomsten afgesloten. De Autoriteit Persoonsgegevens kan u niks maken. Of toch wel? Frank van Keulen, adviseur Informatiebeveiliging bij Kader: “Alleen bedrijven die zich volledig aan de wet houden, hoeven zich geen zorgen te maken. En dat omvat veel meer dan alle AVG-vakjes afvinken.”

Voldoen aan AVG doorlopend proces

Volgens Frank zien veel bedrijven de AVG onterecht als een eenmalig papieren circus. “AVG-compliant zijn en blijven lukt alleen met een goede PDCA-cyclus. Plan, Do, Check, Act. Je moet continu de privacyrisico’s begrijpen. Past de informatie die je verzamelt wel bij het doel? Zijn er veranderingen in de dataverwerking, dan beweegt het privacybeleid mee. En gaat er toch iets mis, dan onderzoek je de verbeteringsmogelijkheden. Voldoen aan de AVG wetgeving vereist dus goed nadenken over bedrijfsprocessen en vooral over het eventuele effect ervan op betrokkenen.”

Privacygevoelige info over medewerkers

Die betrokkenen zijn soms alleen het eigen personeel. Maar zelfs dan zijn er privacyrisico’s. “Denk aan een BSN of kopie van een identiteitsbewijs op platforms als SharePoint of Google Drive. Die informatie kan zo in verkeerde handen vallen.”

Ook het verzuimdossier is privacygevoelig. Frank: “Een ongeoorloofde notitie over de burn-out van een collega kan gevolgen hebben voor de betrokkene. Want krijgt die collega jaren later bijvoorbeeld een interne carrièrekans, dan trekt die burn-out toch weer zijn geschiktheid in twijfel. Die gevolgen zijn waar de hele AVG om draait en waarom de Autoriteit Persoonsgegevens ingrijpt als er ernstige inbreuk wordt gepleegd.”

Boete voor niet naleven AVG

Op het niet naleven van de Algemene Verordening Gegevensbescherming staan boetes van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar hoe komt de Autoriteit Persoonsgegevens (AP) erachter dat een bedrijf de privacywet niet naleeft? “Dat begint altijd met iemand die klaagt. Direct bij de AP of bijvoorbeeld op social media. Soms pikken journalisten de nieuwswaardige situaties eruit en dan móet de AP wel optreden”, vertelt Frank.

Zo kreeg het HagaZiekenhuis een boete van 460.000 euro. De interne beveiliging van patiëntendossiers was er niet op orde. De AP deed hiernaar onderzoek toen bleek dat meerdere ziekenhuismedewerkers onnodig het medisch dossier van realityster Samantha de Jong (Barbie) hadden ingezien.

Ook AVG-boete bij kleine privacyinbreuk

Maar niet alleen miljoenenbedrijven worden gecontroleerd. De Autoriteit Persoonsgegevens krijgt veel meldingen binnen. Afhankelijk van het soort privacyinbreuk duurt het meestal een paar weken voordat de AP een klacht onderzoekt. “De molens draaien misschien langzaam, maar wel gestaag. Als je de verwerking van persoonsgegevens niet goed hebt ingericht en inbreuk hebt gepleegd, dan zal de AP zeker acteren. Soms wordt een klein bedrijf dan alsnog verrast door een boete voor dat ene openbare privacygevoelige document over ziekteverzuim. Dat is zonde en kan voorkomen worden”, besluit Frank.

Blijven voldoen aan de AVG

Serieus aan de slag met het voldoen aan de Europese wetgeving en de Algemene Verordening Gegevensbescherming? Kader adviseert en helpt u met uw compliance. Wij kunnen u onder meer ondersteunen bij het opstellen van een privacybeleid en het inrichten van uw managementsysteem voor privacy en informatiebeveiliging.

Meer weten? Neem contact met ons op!
Contact
Bel mij
Vul hier uw gegevens in en wij nemen telefonisch contact met u op.