fbpx

Secured by

Winkelmand

De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de privacywet, geldt voor alle bedrijven die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers. Dat doe je al door middel van het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsadministratie. Overtreed je de AVG? Dan kan de Autoriteit Persoonsgegevens (AP) een boete of een andere sanctie opleggen. Lex legt je in deze blogpost uit wat voor soort boetes en sancties de AP kan opleggen en hoe je dit kunt voorkomen!

 

Boetes

De AP kan een boete opleggen van maximaal € 20.000.000. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

 

De eerste boete betreft een boete voor het niet nakomen van AVG-verplichtingen. Een voorbeeld is de verantwoordingsplicht. Indien een verwerkingsverantwoordelijke een van de verplichtingen niet nakomt dan kan de AP een boete van maximaal € 10.000.000 opleggen. Mocht het bedrag hoger uitkomen dan kan er een boete opgelegd worden van 2% van de wereldwijde jaaromzet.

 

De tweede boete is een boete voor het overtreden van AVG-beginselen of grondslagen. Indien de verwerkingsverantwoordelijke de beginselen of grondslagen van de AVG of de privacyrechten van betrokkenen overtreedt, dan kan de AP een boete opleggen van € 20.000.000. Mocht het bedrag hoger uitkomen dan kan er een boete opgelegd worden van 4% van de wereldwijde jaaromzet.

 

Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. Dat geld gaat vervolgens naar de algemene middelen van de overheid.

 

Andere sancties

In plaats van een boete kan de AP ook kiezen voor een last onder dwangsom. Wanneer een overtreding na een bepaalde tijd niet is gestopt, moet er een dwangsom betaald worden. Ook kan de AP bepalen dat een bedrijf bepaalde (categorieën van) persoonsgegevens niet mag verwerken. Dit wordt een verwerkingsverbod genoemd.

 

Andere sancties betreffen nog de berisping en de waarschuwing. De AP kan een bedrijf een berisping geven wanneer zij inbreuk maakt op de AVG. Hiermee stelt de AP de inbreuk vast en laat de AP merken dat zij deze afkeuren. Berispingen worden vaak opgelegd voor kleine inbreuken. Daarnaast kan de AP een formele waarschuwing geven over een voorgenomen verwerking. Dit gebeurt door middel van een waarschuwingsbrief.

 

Voorkomen van boetes en sancties

Aangezien je geen uitzonderingspositie hebt als je een kleine mkb’er, zzp’er of grote onderneming bent voor een sanctie of boete van de AP, zit je natuurlijk niet te wachten op een dergelijke straf. Naast dat het hoog in de kosten kan oplopen, kun je met jouw bedrijf reputatieschade oplopen. Daar zit je natuurlijk niet op te wachten en wordt er in het navolgende aangegeven wat jij kunt doen om boetes en sancties te voorkomen:

 

  1. Privacy- en cookieverklaring opstellen: als bedrijf heb je een informatieverplichting tegenover jouw klanten, relaties of medewerkers. Hier kun je aan voldoen door een privacyverklaring op te stellen en deze kenbaar te maken op jouw website. Indien je ook gebruikmaakt van cookies, is het verplicht om een cookieverklaring op te stellen.
  2. Verwerkingsregister en datalekregister opstellen: naast de informatieverplichting heb je ook een verantwoordingsplicht. Je moet aan kunnen tonen dat je aan de privacyregels voldoet. Hieraan kun je voldoen door een verwerkings- en datalekregister op te stellen. In het verwerkingsregister houd je bij welke persoonsgegevens worden verwerkt, waar en hoelang deze bewaard worden en hoe je dit beveiligd. Eventuele datalekken worden in een datalekregister bijgehouden.
  3. Afspraken maken met verwerkers: deel je persoonsgegevens met derden? Dit kunnen bijvoorbeeld bedrijven zijn waar jij jouw financiële administratie aan uit handen geeft of een bedrijf die de salarisadministratie voor jou verzorgt. Met deze partij moeten er duidelijke en schriftelijke afspraken gemaakt worden over de verwerking van persoonsgegevens. Dat wordt beschreven in een verwerkersovereenkomst.
  4. Technische en organisatorische maatregelen nemen: op basis van de AVG moet je passende technische en organisatorische maatregelen nemen om persoonsgegevens waar jij verantwoordelijk voor bent, te kunnen beschermen. Hierbij kun je denken aan een fysieke en digitale toegangscontrole, een wachtwoordbeleid, het maken van back-ups en de encryptie van gegevens.

 

Door zorgvuldig om te gaan met de verwerking van persoonsgegevens van klanten en medewerkers, lever je (naast het voorkomen van AP boetes, sancties en dus reputatieschade) een bijdrage aan de bescherming van de privacy van jouw klanten, medewerkers of andere partijen. Lex helpt jou graag op een betaalbare wijze met juridische documentatie op het gebied van privacyrecht, zodat jij kunt voldoen aan de AVG.

Voldoet jouw bedrijf aan de eisen van de AVG of twijfel je of je alles rondom privacy goed op orde hebt? Doe dan makkelijk, en gratis, de Legal Blueprint van Lex!