DE AVG in het kort.
De AVG geldt dus voor vrijwel alle bedrijven en organisaties. Ook als je geen personeel hebt en maar een paar klanten. Je krijgt al met de AVG / GDPR te maken door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Ook het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie zijn administratieve handelingen die onder de Algemene Verordening Gegevensbescherming vallen. Het maakt hierbij niet uit of de administratieve handelingen handmatig of geautomatiseerd uitgevoerd worden.
Om op verzoek van de autoriteiten te kunnen aantonen dat aan de verplichtingen van de AVG / GDPR wordt voldaan, moet de ondernemer een beheersysteem voor gegevensbescherming hebben. De implementatie van het AVG / GDPR beheersysteem voor ZZP’ers, klein MKB en verenigingen is eigenlijk niet moeilijk maar kost tijd.
De AP heeft verder ook boetebeleidsregels vastgesteld. Daarin hebben zij voor elke overtreding van de AVG vastgesteld wat de minimale en maximale hoogte is van de boete die zij voor de overtreding opleggen.
Twee categorieën overtredingen
De AVG kent twee categorieën overtredingen en bijbehorende maximale boetes. De AP stelt het volgende:
Wettelijk boetemaximum van € 10.000.000 (of 2% van de wereldwijde jaaromzet)
Organisaties hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een organisatie (één van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal € 10.000.000. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
Wettelijk boetemaximum van € 20.000.000 (of 4% van de wereldwijde jaaromzet)
Overtreedt een organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal €20.000.000. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
De meeste ZZP’ers en ondernemers in het klein MKB zijn niet verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. Daar zij persoonsgegevens verwerken moeten ook zij in het geheel aan de AVG / GDPR voldoen! Zij mogen dit zelf doen of een hulp hiervoor inhuren.
Ondernemers die vanwege hun werkzaamheden verplicht zijn om een FG aan te stellen mogen dit niet zelf doen. Zij mogen deze taak ook niet aan leden van het managementteam overdragen! Wel mogen zij deze taak aan een algemene medewerker met voldoende kennis van AVG en andere relevante wetgeving, kennis van informatiebeveiliging én op de hoogte zijn van de specifieke processen, overdragen.
In vele gevallen is het niet mogelijk om een interne medewerk(st)er met deze taak te belasten. Het mist vaak aan kennis en ervaring. Het internet, ondernemersverenigingen en de kamers van koophandel bieden veel waardevolle hulp, maar het werk van praktische implementatie blijft en kost tijd, vooral als je geen of weinig ervaring met deze materie heeft.
Gegevensbescherming is voor de meesten een hele klus die veel tijd en geld kost.
Vandaar mijn suggestie
Concentreer je op jouw core business en …
… laat dit karwei gerust aan mij over!