Terug naar overzicht

Voldoen aan de AVG? Alléén een privacyverklaring is niet genoeg!

Over de AVG bestaan veel misverstanden. In deze gastblog gaat Ron Allard van Mistrau, gespecialiseerd in de AVG, privacy en de bescherming van persoonsgegevens, in op de misverstanden.

door Ron Allard

De Algemene Verordening Gegevensbescherming (AVG) is 2,5 jaar geleden geïntroduceerd als vervanger van de Wet bescherming persoonsgegevens (Wbp). Toen was er veel ophef en publiciteit, vooral vanwege de zeer hoge boetes die in het vooruitzicht werden gesteld. Daarbij is de AVG complex, uitgebreid en laat ze veel ruimte voor interpretatie. Misschien leidde mede hierdoor de introductie tot veel, vaak hardnekkige, misverstanden, zoals:

  • De AVG is veel strenger dan de Wbp.
  • De AVG is bedoeld voor grote ondernemingen, die veel persoonsgegevens verwerken.
  • Om aan de AVG te voldoen is voor een mkb-bedrijf een privacyverklaring op de website voldoende, vanwege de kleinschaligheid van de verwerkingen.

Strengere eisen?

De AVG is niet echt strenger met betrekking tot wat er wel en niet met persoonsgegevens mag. Waarschijnlijk is dat beeld ontstaan door de grote aandacht voor de sancties, die met de komst van de AVG kunnen worden opgelegd door de Autoriteit Persoonsgegevens (AP).

De AVG legt wél veel meer nadruk op de naleving van de wet, je moet kunnen aantonen dat je voldoet aan de gestelde privacy eisen.

Alleen voor grote ondernemingen?

Nee, absoluut niet. De AVG is voor alle organisaties gelijk. Natuurlijk zijn de grootste vissen het meest interessant voor de autoriteit, maar het is vooral capaciteitsgebrek bij de AP, dat ervoor zorgt dat er nog vrij weinig sancties zijn opgelegd aan mkb-bedrijven. Daar zal de komende tijd vrijwel zeker verandering in komen.

Privacyverklaring voldoende?

Transparant zijn over wat je met iemands gegevens doet is een belangrijke eis van de AVG. Omdat je informatie moet verstrekken voordat je iemands gegevens verwerkt, hebben de meeste organisaties een privacyverklaring op hun website geplaatst, waarin ze uitleggen hoe ze persoonsgegevens verwerken.

Transparantie is maar een van de eisen die de AVG stelt aan het verwerken van persoonsgegevens. Alleen een privacyverklaring maakt de verwerking van persoonsgegevens dan ook nog niet rechtmatig. En ook de privacyverklaring moet aan bepaalde eisen voldoen.

Andere eisen

Zoals gezegd, er gelden meer eisen bij het verwerken van persoonsgegevens. Een organisatie kan zichzelf de volgende vragen stellen om te bepalen of een verwerking past binnen de AVG-kaders:

  • Is er een rechtmatige reden (doel) voor de verwerking?
  • Verwerken we uitsluitend persoonsgegevens die nodig zijn voor het doel?
  • Is de beveiliging van de gegevens op orde en de toegang ertoe beperkt?
  • Verwijderen we persoonsgegevens als ze niet meer nodig zijn voor het gestelde doel?
  • Zijn de betrokkenen tijdig en helder geïnformeerd?

Als deze zaken zijn geregeld én u kunt dat ook aantonen, dan bent u goed op weg.

Voldoet uw organisatie aan de AVG?

Veel bedrijven zijn nog onvoldoende voorbereid op de AVG. Bent u goed op weg of moet u praktisch nog beginnen? En welke risico’s loopt u eigenlijk? Twijfelt u hierover? Neem gerust contact op met Mistrau. Een verhelderend gesprek, of bijvoorbeeld een AVG-nulmeting, geeft u direct meer inzicht in de situatie en de risico’s, die uw bedrijf mogelijk loopt.

Voor advies of vragen kun je altijd contact opnemen met SmartFunding via +31 85 303 56 65 of info@smartfunding.nl. Uiteraard kun je ook altijd direct contact opnemen met een van de SmartFunding-adviseurs.