AVG feitjes en weetjes

Nationaal gezien zijn (nog) weinig bedrijven op de hoogte of voelen zich onvoldoende geïnformeerd. En toch komt de documentatieplicht rap dichterbij. Enkele feitjes en weetjes die we tegen komen in praktijk.
  • Ten eerste, de wet is niet nieuw en kent overlapping met de huidige Wbp. De AVG wetgeving wordt weliswaar vanaf 25 mei gehandhaafd, maar is al twee jaar actief. Het is dus ook niet zo dat dit iets nieuws is, hoewel veel organisaties dat niet direct door hebben gehad;
  • Een correcte privacy statement opstellen en Google Analytics anonimiseren is niet afdoende om aan de AVG documentatieplicht te voldoen. Denk ook aan de verwerkings­registers en verwerkers­overeenkomsten;
  • Er kunnen bij overtreding van de AVG hoge boetes worden uitgedeeld, en er is ook aangegeven door het AP dat ze dit zullen doen. Er zijn boetes van maximaal 20 miljoen of 4 procent van de omzet, wat maar hoger uitvalt;
  • Veel stichtingen/verenigingen en organisaties denken hier niet direct bij na, maar ook zij moeten voldoen aan de AVG. Bijvoorbeeld sportverenigingen, carnavalsvereniging of een VVE hebben ook persoonsgegevens in beheer, en moeten dus ook stappen nemen om te voldoen aan de AVG;
  • Daarbij belangrijk: de AVG is in sommige zaken een flinke zorgenpost voor organisaties. Maar het biedt ook duidelijkheid en kansen (ben je compliant, dan straal je veel meer betrouwbaarheid uit naar je klanten bijvoorbeeld);
  • Verwerkers (zoals webbureau's, hostingbedrijven, administratiebureau's) dragen in deze nieuwe wet ook verplichtingen. Dat is bij veel van deze partijen nog niet geheel doorgedrongen, maar zij zullen ook goed moeten gaan documenteren in een verwerkingsregister wat zij doen, met welk doeleind en voor wie;
  • Veel meer zaken zijn persoonsgegevens dan je wellicht zou denken, namelijk alle informatie waaruit een persoon kan worden afgeleid. Denk aan een foto, politieke of seksuele voorkeur, IP-adres, kenteken, GPS, of haarkleur;
  • Datalekken, sowieso een hot item in het nieuws recentelijk, moeten altijd intern gedocumenteerd worden. Computerscherm met persoonsgegeven open laten staan in een winkel, USB verloren? Zelfs wanneer niet met zekerheid gesteld kan worden dat er géén data is gelekt, dient het intern gedocumenteerd te worden. En daarbij is het begrip "datalek" binnen de AVG ook nog eens ruim.