Financieel

De laatste jaren zijn wij geconfronteerd met een lange rij van privacywetten. De jongste telg is de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Deze verordening vervangt de voorgaande privacywetten.

Toen ongeveer vijftig jaar geleden steeds meer grote bedrijven en overheidsinstanties gebruik gingen maken van mainframe computers werden de eerste privacywetten geboren. Op deze computers konden voor het eerst grote hoeveelheden data over personen worden opgeslagen en met ongekende snelheid en nauwkeurigheid worden verwerkt. Het publiek maakte zich echter steeds meer zorgen over de ‘onzichtbaarheid’ van deze gegevensverwerking en mogelijke nadelige gevolgen ervan. De overheid heeft daarom een scala aan privacywetten geproduceerd. De laatste is de AVG. Het doel van de AVG is het verhogen van het beschermingsniveau van persoonsgegevens en brengt daarom nogal wat verplichtingen met zich mee voor u als ondernemer. Ook voor de ZZP-er geldt de AVG.

Persoonlijke gegevens over de grens

De AVG maakt het vrije verkeer van persoonsgegevens binnen de EU mogelijk. Het idee achter de AVG is dat persoonsgegevens binnen de gehele EU gebruikt kunnen worden, waarbij overal een gelijk niveau van bescherming is. Toezichthouder in Nederland op de AVG is de Autoriteit Persoonsgegevens (AP). Omdat de AVG de positie versterkt van mensen van wie u persoonsgegevens verwerkt, bijvoorbeeld personeelsgegevens, dan krijgt u als ondernemer ook steeds meer verplichtingen.

Bescherming of verberging?

Het komt erop neer dat u als ondernemer het voor onbevoegden onmogelijk moet maken om toegang te krijgen tot de systemen waarin u de persoonsgegevens verwerkt. Het lijkt daarom voor de hand te liggen dat hierbij in de eerste plaats gedacht wordt aan technische maatregelen. Iedereen beseft wel dat systemen nooit voor 100 procent waterdicht zijn te krijgen en te houden. Echter, als uw onderneming gedateerde firewalls gebruikt, geen updates downloadt, geen beleid heeft tot het gebruik van wachtwoorden en/of USB-sticks dan bent u duidelijk in overtreding. Omdat het risico van een datalek altijd bestaat moet er bij uw onderneming een protocol zijn, om de ernst van de inbreuk te kunnen beoordelen. Die beoordeling kan oorzaak zijn dat er een melding gemaakt moet worden bij de AP. Dit protocol zal ook moeten voorzien in procedures om herhaling van het datalek te voorkomen en de gevolgen voor de betrokkenen en uw onderneming te beperken. Het benoemen van een Functionaris Gegevensbescherming (FG) kan in voorkomende situaties een nuttige maatregel zijn.

Sancties

In de media wordt regelmatig benadrukt dat de boetes voor het handelen in strijd met de AVG zeer zwaar zijn. We moeten echt gaan beseffen dat de vrijblijvendheid die onder voorgaande wetten er wellicht nog was nu verleden tijd is. Dit blijkt alleen al uit de omgekeerde bewijslast die voor uw onderneming geldt als een gedupeerde een claim bij u zou indienen. Om nog niet te spreken over de reputatieschade voor uw onderneming. De verwachting is echter niet dat de AP na 25 mei 2018 direct boetes gaat uitdelen aan bedrijven of instellingen die nog niet aan alle voorwaarden voldoen. Niets doen is echter geen optie. U kunt
als bestuurder hoofdelijk aansprakelijk gesteld worden. Wij merken wel dat privacy nog steeds onvoldoende leeft en dat bestuurders soms het idee hebben ‘het zal mijn tijd wel duren’. Dit is echter een grote vergissing. Ons advies is: zet privacy hoog bij u op de agenda en haal het er nooit meer af.

Meer informatie: Profinis Accountants en Adviseurs

Deel dit artikel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *