Ja, de Autoriteit Persoonsgegevens (AP) is toezichthouder en heeft bevoegdheid om jou als ondernemer boete’s op te leggen als jij je niet houdt aan de privacywetgeving. Hoewel in vergelijking met sommige andere toezichthouders uit de EU lidstaten niet uitzonderlijk vaak, heeft de Nederlandse AP in de afgelopen 5 jaar in ieder geval 22 boete’s uitgedeeld van in totaal 14,5 miljoen euro. Hetgeen neerkomt op een gemiddelde van € 693.000 per boete. Toch niet misselijk zou ik zeggen..
Verreweg de meeste boete’s zijn gegeven wegens niet afdoende beveiliging van persoonsgegevens en het ontbreken van of niet de juiste grondslag hanteren, waardoor je de persoonsgegevens onrechtmatig gebruikt. Maar ook is gebleken dat het proces rondom het omgaan met datalekken en/of tijdig melden bij veel organisaties tekortschiet. Ik snap het wel, je bent ondernemer en je hebt je handen al vol aan allerlei andere (rand)zaken. Dat privacy gebeuren moet dus maar wachten. Mijn advies is, voorkomen is beter dan genezen. Zet vandaag nog de eerste stap en zorg dat jij wel je processen op orde hebt. Ga in ieder geval onderstaande vragen na en check of je dit helder in beeld hebt binnen jouw organisatie:
- Welke persoonsgegevens hebben we?
- Wat doen we met die persoonsgegevens?
- Waar staan de persoonsgegevens, waar komen de persoonsgegevens vandaan en waar gaan ze naartoe?
- Hoe lang bewaren we de persoonsgegevens?
- Wie in de organisatie heeft toegang tot welke persoonsgegevens?
Bekijk welke risico’s er zijn, zowel op privacy gebied als op security gebied, schakel desnoods een ICT bedrijf in die dit voor jou in orde maakt. Zorg er vervolgens voor dat je over de juiste juridische documenten beschikt en deze up to date zijn (denk aan: de privacyverklaring, verwerkersovereenkomst, eventueel afspraken datauitwisseling, draaiboek datalekken).
Bedenk je overigens wel dat je het niet alleen doet om boete’s te voorkomen maar ook voor je klanten, je straalt professionaliteit en betrouwbaarheid uit als je klanten weten dat hun persoonsgegevens in veilige handen zijn. Bovendien kan het zomaar zo zijn dat je gedurende je processen in kaart brengen je tot de ontdekking komt dat optimalisaties of kostenbesparingen mogelijk zijn. Al met al, geen reden dus om je privacy gebeuren nog langer aan de kant te schuiven.
Tip: Wil je eens brainstormen over jouw privacygebeuren en/of wil je het juridisch goed geregeld hebben? Stuur me dan gerust een bericht of neem eens een kijkje hier op mijn website.