ONS NIEUWS

Consequenties niet naleven AVG

In 2018 leidde de invoering van de AVG tot heel wat commotie. Nu is het stof neergedaald, met als risico dat organisaties geen prioriteit meer geven aan de AVG.

Om uw geheugen op te frissen; Welke documenten moet u minimaal opgesteld hebben om AVG compliant te zijn? In ieder geval moet u op orde hebben: verwerkersovereenkomsten, register verwerkingsactiviteiten, privacyverklaring, cookieverklaring, beveiliging en datalekbeleid.
Voor de overige specifieke vereisten voor uw organisatie verwijzen wij u graag nog eens naar onze AVG checklist: https://www.hmp.nl/nieuws/nieuwe-avg-wetgeving/

Heeft u de AVG nog niet intern ingeregeld, wat zijn dan de gevolgen indien u niet AVG compliant bent?

1. Hoge boetes

De bekendste consequentie is dat de Autoriteit Persoonsgegevens (AP) een extreem hoge administratieve boete kan opleggen. De basisboete voor een overtreding van de AVG is vastgesteld op € 525.000,- Afhankelijk van de ernst en duur van de overtreding kan de boete bijgesteld worden. De maximale hoogte van de boete ligt op € 10 miljoen euro of 2% van de wereldwijde jaaromzet van de onderneming. Deze boete wordt opgelegd in gevallen van het ontbreken van een verwerkingsregister, het niet melden van een verplicht datalek en/of niet afsluiten van verwerkersovereenkomsten. Schendt uw onderneming de privacy-rechten van betrokkenen? Dan is de boete zelfs maximaal € 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming.

2. Overige maatregelen

Naast de boetes die de AP kan opleggen, mag zij ook corrigerende maatregelen nemen. Dit kan variëren van waarschuwen, berispen, het opleggen van een verwerkingsverbod of het intrekken van certificaten.  Om de corrigerende bevoegdheden uit te kunnen oefenen heeft de AP een uitgebreidere onderzoeksbevoegdheid gekregen. Zo kan de AP bevel geven tot het verstrekken van relevante informatie en kan zij ook bedrijfsruimten betreden om informatie te verkrijgen en te controleren. Ten slotte heeft de AP de mogelijkheid tot het opleggen van een ‘last onder dwangsom’. Als u zich niet houdt aan een bindende instructie van de AP, kan de AP een dwangsom opleggen. Deze dwangsom staat los van een eventuele administratieve boete.

3. Klachtenregeling

Mensen maken zich zorgen over hun privacy. Zij lopen vast bij de uitoefening van hun privacy-rechten en klagen hierover. Iedereen kan sinds 25 mei 2018 een klacht indien bij de AP. Van deze mogelijkheid wordt massaal gebruik gemaakt. Het aantal privacy-klachten blijft sterk toenemen. Een verklaring hiervoor is dat de mogelijkheid om privacy-klachten in te dienen steeds bekender wordt. Naar aanleiding van een klacht kan de AP besluiten een onderzoek in te stellen naar de vermoedelijke privacy-schending door de organisatie.

4. Verzoek rechter tot schadevergoeding

Wist u dat iemand met een privacy-klacht ook naar de rechter kan stappen? Ieder slachtoffer van privacy-schending, heeft volgens de AVG recht op een schadevergoeding voor materiele en/of immateriële schade. De gang naar de rechter is nog niet bij iedereen bekend, en veel betrokkenen wenden zich eerst tot de AP, voordat zij zelfstandig voor een schadevergoeding gaan procederen.

5. Negatieve publiciteit en imagoschade

Het grootste risico bij een privacy-schending is de mogelijke imagoschade voor uw organisatie. Afgelopen tijd zijn er meerdere hacks en privacy-schandelen geweest, waardoor privacy de nodige aandacht krijgt. Gevolg is dat dit ook door de media opgepikt wordt en van ieder datalek uitgebreid verslag gedaan wordt. Organisaties die niet correct omgaan met de privacy van hun klanten en medewerkers krijgen steeds meer negatieve aandacht. Een datalek of privacyschending zorgt voor wantrouwen. Dit leidt onder andere tot gezichtsverlies, imagoschade en mogelijk verlies van klanten.

6. Bestuurdersaansprakelijkheid

Een weinig besproken consequentie van het non compliant zijn met de AVG is de bestuurdersaansprakelijkheid. Correcte naleving van de AVG is uiteindelijk de verantwoordelijkheid van de bestuurder. De AP heeft derhalve de mogelijkheid om de bestuurders van een organisatie een persoonlijke boete op te leggen. Het niet melden van een datalek wanneer dit wel verplicht was, kan een grondslag vormen om als bestuurder persoonlijk aansprakelijk gesteld te worden. De persoonlijke boete komt boven op de boete die aan de onderneming wordt opgelegd. Niet alleen de AP kan de bestuurder aansprakelijk stellen. Als een betrokkene schade lijdt door een datalek, is het mogelijk dat de ‘verwerkingsverantwoordelijke’ persoonlijk aansprakelijk wordt gesteld door deze betrokkene.

Des te meer reden om nog eens na te gaan of u voldoet aan de AVG wetgeving en de benodigde acties niet op de lange baan blijft schuiven maar alsnog in orde maakt.
Heeft u vragen over wat u intern moet regelen om AVG-compliant te zijn of heeft u te weinig capaciteit? Onze adviseur, Vera Verlooij, heeft zich binnen HMP toegelegd op de AVG en helpt u graag verder.

HMP | Realising Change… Bewezen expertise voor het daadwerkelijk oplossen van vraagstukken op het gebied van:  

Reorganiseren – HR Projecten – Arbeidsrecht – Mediation 

Deel dit bericht