+49 4284 927 838
office@avggereed.nl
Menu

De Algemene Verordening Gegevensbescherming

DE AVG in het kort.

De AVG geld voor alle ondernemers in de Europese Unie!
De Europese Algemene Verordening Gegevensbescherming (AVG / GDPR) geldt voor alle bedrijven en organisaties in de Europese Unie die persoonsgegevens vastleggen van klanten, personeel of andere personen. Vrijwel alle ondernemers hebben ermee te maken, ook ZZP’ers en klein MKB. De wet geldt zeer zeker ook voor scholen, zorginstanties, verenigingen en stichtingen.
Administratieve activiteiten vallen al snel onder deze privacywet
Naast namen van personen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies, een e-mailadres en dergelijke onder deze wet. Ook als je niet weet wie er schuilgaat achter deze gegevens, moet je ze als privacygevoelig behandelen.

De AVG geldt dus voor vrijwel alle bedrijven en organisaties. Ook als je geen personeel hebt en maar een paar klanten. Je krijgt al met de AVG / GDPR te maken door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Ook het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie zijn administratieve handelingen die onder de Algemene Verordening Gegevensbescherming vallen. Het maakt hierbij niet uit of de administratieve handelingen handmatig of geautomatiseerd uitgevoerd worden.

Verantwoordingsplicht van de ondernemer
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij de organisatie om aan te tonen dat deze aan de privacyregels voldoet. Door te voldoen aan de verantwoordingsplicht (accountability) levert de onderneming een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Om op verzoek van de autoriteiten te kunnen aantonen dat aan de verplichtingen van de AVG / GDPR wordt voldaan, moet de ondernemer een beheersysteem voor gegevensbescherming hebben. De implementatie van het AVG / GDPR beheersysteem voor ZZP’ers, klein MKB en verenigingen is eigenlijk niet moeilijk maar kost tijd.

Wat als de onderneming zich niet aan de AVG houdt?
De Autoriteit Persoonsgegevens kan verschillende sancties opleggen wanneer er sprake is van een overtreding van de AVG. Bijvoorbeeld een boete of dwangsom, maar ook alternatieve interventies.

De AP heeft verder ook boetebeleidsregels vastgesteld. Daarin hebben zij voor elke overtreding van de AVG vastgesteld wat de minimale en maximale hoogte is van de boete die zij voor de overtreding opleggen.

Twee categorieën overtredingen

De AVG kent twee categorieën overtredingen en bijbehorende maximale boetes. De AP stelt het volgende:

Wettelijk boetemaximum van € 10.000.000 (of 2% van de wereldwijde jaaromzet)
Organisaties hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een organisatie (één van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal € 10.000.000. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Wettelijk boetemaximum van € 20.000.000 (of 4% van de wereldwijde jaaromzet)
Overtreedt een organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal €20.000.000. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Wie ondersteund de ondernemimg de uitvoering AVG?

De meeste ZZP’ers en ondernemers in het klein MKB zijn niet verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. Daar zij persoonsgegevens verwerken moeten ook zij in het geheel aan de AVG / GDPR voldoen! Zij mogen dit zelf doen of een hulp hiervoor inhuren.

Ondernemers die vanwege hun werkzaamheden verplicht zijn om een FG aan te stellen mogen dit niet zelf doen. Zij mogen deze taak ook niet aan leden van het managementteam overdragen! Wel mogen zij deze taak aan een algemene medewerker met voldoende kennis van AVG en andere relevante wetgeving, kennis van informatiebeveiliging én op de hoogte zijn van de specifieke processen, overdragen.

In vele gevallen is het niet mogelijk om een interne medewerk(st)er met deze taak te belasten. Het mist vaak aan kennis en ervaring. Het internet, ondernemersverenigingen en de kamers van koophandel bieden veel waardevolle hulp, maar het werk van praktische implementatie blijft en kost tijd, vooral als je geen of weinig ervaring met deze materie heeft.


Gegevensbescherming is voor de meesten een hele klus die veel tijd en geld kost.


Vandaar mijn suggestie

Concentreer je op jouw core business en …

… laat dit karwei gerust aan mij over!