Een halfjaar AVG, een storm in een glas water?!

maandag 26 nov 2018

25 mei 2018. De dag waarop in de Europese Unie één privacywet geldt. Vooraf heerste er vooral paniek. Wat mag nog wel en wat niet meer? Hebben we nu écht overal toestemming voor nodig? Velen vreesden het ergste. En toen werd het 25 mei 2018. De wereld draaide gewoon door en het was een dag zoals alle andere dagen. In de wandelgangen klinkt nu vooral opluchting: het valt allemaal wel mee. Die AVG, dat is maar een storm in een glas water en veel ophef om niets… Of toch niet?

De feiten

Nee, toch niet. En sterker nog, niets doen is geen optie. Zes maanden na dato heeft de Autoriteit Persoonsgegevens (dé privacy-waakhond) alles behalve stilgezeten. Een paar feiten op een rij:

  • Ruim 10.000 (!) mensen hebben na 25 mei een privacy klacht ingediend bij de Autoriteit Persoonsgegevens. Wat opvalt is dat veruit het grootste deel van de klachten ziet op het bedrijfsleven. De meeste klachten van mensen zien op het geen gehoor krijgen op een verzoek tot inzage of vernietiging van hun persoonsgegevens. Ook klagen mensen dat organisaties meer persoonsgegevens opvragen dan noodzakelijk en persoonsgegevens door organisaties worden doorgegeven aan derden terwijl mensen dit niet weten of niet willen.
  • De Autoriteit Persoonsgegevens heeft een last onder dwangsom ter grootte van € 40.000,- opgelegd aan de Nationale Politie én ingevorderd.
  • De Autoriteit Persoonsgegevens heeft recent het UWV een last onder dwangsom opgelegd van € 150.000,- per maand.
  • De Autoriteit Persoonsgegevens is in juli gestart met een onderzoek naar de naleving van de AVG door (grote) bedrijven in de private sectoren, waaronder industrie, metaal, bouw, handel, horeca, financiële en zakelijke dienstverlening, zorg en waterleidingbedrijven. Wat opvalt is dat de Autoriteit Persoonsgegevens tijdens de controles tot dusver heeft gevraagd om het tonen van het verwerkingsregister (zie stap 1 in onderstaand stappenplan).

Het is slechts een kwestie van tijd…

Kortom: de AVG is zeker geen storm in een glas water. De Autoriteit Persoonsgegevens is wel degelijk begonnen met de controle op de naleving van de AVG. Hoewel controle zich nu nog vooral richt op de grote organisaties en bedrijven, is het controleren van kleinere organisaties en MKB bedrijven slechts een kwestie van tijd. Zorg daarom dat ook jouw organisatie of onderneming AVG proof is.

Maar… hoe word je dan AVG proof? Graag zet ik uiteen welke stappen jij echt nog moet zetten.

Stap 1: Verwerkingsregister

Een goede eerste stap is het opstellen van een verwerkingsregister. Elke organisatie of onderneming die persoonsgegevens verwerkt is verplicht een verwerkingsregister op te stellen. Tenzij je op (zeer) incidentele basis persoonsgegevens verwerkt. Maar dit is in de praktijk zelden het geval. In het verwerkingsregister registreer je alle verwerkingsactiviteiten binnen jouw organisatie: welke persoonsgegevens verwerk je en met welk doel? Met wie worden de gegevens gedeeld? Welke maatregelen heb je getroffen om de persoonsgegevens te beveiligen? Op verzoek van de Autoriteit Persoonsgegevens ben je verplicht het verwerkingsregister te verstrekken.

Stap 2: Privacyverklaring

Een tweede stap is het opstellen en hanteren van een privacyverklaring. De AVG legt op jou namelijk een informatieplicht. Je bent verplicht om bijvoorbeeld nieuwe en bestaande klanten te informeren wat jij met hun persoonsgegevens doet en waarom. Je kunt aan je informatieplicht voldoen door het publiceren van een online privacyverklaring. Denk bij de informatieplicht overigens niet alleen aan je klanten, maar ook aan bijvoorbeeld leveranciers en werknemers.

Stap 3: Verwerkersovereenkomsten

Sluit verwerkersovereenkomsten met de zogeheten ‘verwerkers’: partijen die in opdracht van jou persoonsgegevens verwerken. Denk hierbij in ieder geval aan jouw administratiekantoor of jouw softwareleverancier.

Stap 4: Privacybeleid

Hoe ga jij om met een klant die een verzoek tot inzage van zijn persoonsgegevens doet? Of met een ex-werknemer die een beroep doet op zijn recht tot vernietiging van zijn persoonsgegevens? Het is verstandig om vast te leggen of én hoe je aan dergelijke verzoeken gehoor moet geven. En hoe moet je handelen bij een datalek? Wanneer is het nodig om een datalek te melden aan de Autoriteit Persoonsgegevens en/of aan de betrokken personen? Door dit en meer vast te leggen creëer je een intern privacybeleid wat jou handvaten biedt en waar je indien nodig op kunt terugvallen.

De AVG biedt juist kansen!

Waarschijnlijk denk jij dat de AVG je vooral ‘tot last’ is. De AVG biedt echter ook juist kansen en voordelen voor jouw organisatie of onderneming. Door het opstellen van een verwerkingsregister creëer je allereerst bewustzijn: welke persoonsgegevens verwerk ik allemaal en waarom doe ik dat eigenlijk? Heb ik alle persoonsgegevens wel écht nodig? Bewaar ik niet onnodig een boel ballast? Daarnaast zorgt het publiceren van een privacyverklaring voor een professionele uitstraling van jouw organisatie of onderneming.

Hulp nodig?!

Zie je door de bomen het bos niet meer of weet je niet hoe te beginnen? Neem dan contact met ons op via 038 333 75 74 of info@felix.nl. Ons kantoor helpt jou graag verder!

Logo felix.
Goudplevier 123
8271 GB IJsselmuiden
Duurzaamheid
felix. en duurzaamheid
Lees het hier
Daar word jij wijzer van
Gratis tips afgestemd op jouw branche
Laat je e-mailadres achter en we houden je op de hoogte van nieuwe regelgeving en andere nieuwswaardigheden.
felix. © 2025 Alle rechten voorbehouden.
Disclaimer | Privacy | Algemene voorwaarden