HOME  / ONLINE PRODUCTENNextendum Nieuws / Nieuwsbericht

AVG: de stand van zaken

De implementatie van de AVG-wetgeving ligt alweer bijna een jaar achter ons. Tijd om de balans op te maken en vooruit te blikken op de ontwikkelingen.

Op 25 mei 2018 werd de AVG (Algemene verordening gegevensbescherming) van kracht. Wat hebben de nieuwe privacyregels ons gebracht?

De AVG  kort door de bocht

De AVG-wetgeving vergroot weliswaar de privacyrechten van individuen en legt meer verantwoordelijkheden en verplichtingen bij organisaties, maar in de praktijk verandert er niet zoveel in de manier waarop u met persoonsgegevens zou moeten omgaan. Een belangrijke wijziging is wel de accountability; als accountantskantoor zult u – meer dan voorheen – een aantal zaken moeten gaan vastleggen.

Voor het gemiddelde accountantskantoor betekent dit:

  • Het bijhouden van een register van verwerkingsactiviteiten;
  • Het vastleggen van een privacybeleid;
  • Het opstellen van verwerkersovereenkomsten;
  • Het opstellen van een protocol en het bijhouden van een register van datalekken

Feiten en cijfers AVG sinds mei 2018

Sinds de inwerkingtreding van de AVG is er, zichtbaar en onzichtbaar, al veel gebeurd. Enkele feiten en cijfers voor u op een rij:

  • Sinds mei vorig jaar heeft de Autoriteit Persoonsgegevens 22.000 vragen ontvangen. In 10.000 gevallen gaat het om een klacht.
  • Meer dan helft van de vragen is inmiddels afgehandeld.
  • 44% Van alle vragen is nog altijd (januari 2019) in behandeling.
  • Er lopen 11 handhavingsonderzoeken in de publieke en private sector in ons land.

Uw onderneming ook onder de loep?

De AVG-wetgeving heeft de Autoriteit Persoonsgegevens tanden gegeven en daarvan gaan we in 2019 de eerste gevolgen merken. Hoewel de interne organisatie nog niet op volle sterkte is (kijk maar naar de vele openstaande vacatures), blijft waakzaamheid geboden. Zelfs uw onderneming kan slechts één klacht verwijderd zijn van een onderzoek.

Hoge boetes

Een overtreding van de privacywet kan een hoge boete tot gevolg hebben. De Autoriteit Persoonsgegevens (AP) sluit niet uit dat de privacywaakhond nog in 2019 boetes voor overtredingen van de AVG, de Europese privacywet, gaat uitdelen. In het nieuws kwam dat een woordvoerder van de AP heeft aangegeven dat er op dit moment meerdere onderzoeken lopen naar mogelijke overtredingen van de AVG. Wanneer blijkt dat er inderdaad sprake is van een overtreding, kunnen er snel boetes volgen.

De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AP kan ook bij overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens een boete opleggen en bij bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

Wettelijk boetemaximum AVG
Bij het vaststellen van (de hoogte van) de boete houdt de AP in eerste instantie rekening met het maximale bedrag van de boete dat in de wet is vermeld.

Boetecategorieën
De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Factoren
De basisboete kan per geval vervolgens verhoogd of verlaagd worden aan de hand van een aantal factoren. Bijvoorbeeld de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding aan de overtreder kan worden verweten en of er sprake is van recidive.

Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine en middelgrote en ondernemingen.

Europese richtsnoeren
Op 25 mei 2018 heeft European Data Protection Board (EDPB) richtsnoeren vastgesteld voor de toepassing en vaststelling van administratieve geldboeten. In deze richtsnoeren is vastgelegd wanneer welk sanctiemiddel het meest passend is. Andere sanctiemiddelen zijn bijvoorbeeld een last onder dwangsom en een verwerkingsverbod.

Aangezien de EDPB (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld, heeft de AP nu voor haar toezicht in Nederland beleid vastgesteld voor de berekening van de hoogte van boetes. De beleidsregels worden door de AP toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes. (Bron: autoriteitpersoonsgegevens.nl)

2019: professionalisering en stabilisering van privacy en compliance

Nu we allemaal stappen hebben gemaakt op AVG-gebied, is het tijd voor de volgende stap. Wij verwachten dat de professionalisering en stabilisering van privacy en compliance de belangrijkste ontwikkelingen in 2019 zijn. De Autoriteit Persoonsgegevens en ook klanten hebben bedrijven het afgelopen jaar de tijd gegeven om te wennen aan de nieuwe regels. Die enigszins flexibele houding blijft natuurlijk geen stand houden. Het thema privacy is volwassen. Dat blijkt ook uit de aandacht die de verschillende media aan privacy geven, via bijvoorbeeld tv-programma’s als Radar en de Privacytest. Burgers krijgen meer kennis en stellen zich daardoor ook veeleisender op. Voor bedrijven is het dus zaak om in 2019 professioneel door te pakken met de AVG-wetgeving.

Wat te doen als accountant of ondernemer?

Onze ervaring is dat veel kantoren nog steeds onvoldoende gevolg hebben gegeven aan alle verplichtingen vanuit de AVG. Controleer voor u zelf hoever u bent aan de hand van ons ACTIEPLAN AVG.

Want uiteraard is de invoering van de AVG niet alleen van belang voor een aanstaande kantoortoetsing. Bedenk ook dat klanten eerder kiezen voor bedrijven die werk maken van privacy. Daarnaast is het een kans om u te onderscheiden van de concurrenten door aantoonbaar compliant te zijn.

2020 en verder: e-Privacyverordening (ePV)

Wij verwachten dat medio 2020 nieuwe regels komen voor het gebruik van persoonsgegevens voor elektronische communicatiediensten. Denk onder meer aan het gebruik van ‘cookies’. Wij zullen u, zodra dit bij ons bekend is, informeren via onze privacy portal.

R.J.E. (Ralph) Vaessen
adviseur corporate finance
directie

06 83 79 96 19
r.vaessen@extendum.nl

iOS touchscreen gebruikers: Voor delen 2 keer tikken