We zijn nu enkele maanden verder nadat de AVG van toepassing is geworden. Toch krijgen we nog steeds veel vragen over de AVG. Hieronder hebben we de drie meest voorkomende vragen voor u op een rij gezet en beantwoord.
- Mag ik nu niet meer mailen?
De AVG zegt hierover dat als een onderneming persoonsgegevens verwerkt (en deze gegevens ook mailt) dat hiervoor passende technische en organisatorische maatregelen moeten worden genomen. Dit kan bijvoorbeeld zijn door alle e-mails encrypted (= met behulp van versleuteling) te gaan versturen. Of door klanten de gegevens te laten downloaden via een portal. Het is echter de vraag of dit in alle geval haalbaar is (o.a. financieel). Dat is ook de reden dat de AVG spreekt over ‘passend’. De maatregelen moeten passend zijn bij de organisatie en bij de hoeveelheid persoonsgegevens die worden verwerkt. Dit wil dus niet zeggen dat u niet meer mag mailen. Zolang u maar de passende maatregelen hebben genomen om de data zo goed mogelijk te beschermen.
- Ben ik verwerker of verantwoordelijke?
Artikel 4 lid 8 AVG definieert een verwerker als ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’
Art. 4 lid 7 AVG definieert een verwerkingsverantwoordelijke als ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Het gaat er in de praktijk om dat de verwerker de verwerking uitvoert voor de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking. Voor een verwerkingsverantwoordelijke geldt dat zij een eigen dienstverlening heeft, waarvoor zij per situatie zelf bepaalt wat het doel en de middelen zijn van de gegevensverwerking. Bepalend voor het onderscheid verwerkingsverantwoordelijke of verwerker is dus dat een verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking vaststelt. Een verwerker daarentegen heeft geen zeggenschap over het doel en de middelen. Als de verwerkingsverantwoordelijke zelf het doel en de middelen vaststelt dan is er geen verwerkingsovereenkomst nodig.
- Krijg ik ook zo’n hoge boete als ik iets fout doe?
Bedrijven kunnen boetes worden opgelegd tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet voor overtredingen van de wetgeving inzake gegevensbescherming. Het opgelegde bedrag zal afhangen van de ernst of herhaalde aard van een schending. Dit wordt bepaald door de toezichthoudende autoriteit. Echter zal het voor de kleinere ondernemingen die direct zo’n vaart lopen (tenzij er grove schendingen zijn uiteraard). Maar de Autoriteit Persoonsgegevens heeft zelf ook al aangegeven dat ze haar pijlen komende twee jaar vooral zal richten op datalekken bij overheids- en zorgorganisaties. Daarnaast is de Autoriteit Persoonsgegevens gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. Bij een willekeurige steekproef van dertig grote organisaties uit tien private sectoren onderzoekt de AP of zij een register van verwerkingsactiviteiten bijhouden.
Dit wil uiteraard niet zeggen dat u niet AVG-compliant moet zijn. Hulp hierbij nodig? Dit kan met één van onze pakketten. Zie hiervoor onze website of neem contact met ons op.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan