Het verwerken van persoonsgegevens zonder toestemming (mythe 1) zorgt ervoor dat een bedrijf een hoge boete riskeert en failliet kan gaan (mythe 6). Er bestaan nogal wat misverstanden over de AVG en dat maakt het lastig voor bedrijven om te voldoen aan de wettelijke regelingen. Wat zijn veelvoorkomende misverstanden waar juridische professionals mee te maken krijgen? Wij delen zeven misverstanden, zodat je weet hoe het wel zit als een cliënt om advies vraagt.
1. Bedrijven mogen bijna niets doen met persoonsgegevens
Als je persoonsgegevens wilt verwerken dan heb je daarvoor een grondslag nodig. Bij iedere verwerking van persoonsgegevens moet je je de vraag stellen of je een grondslag hebt voor die verwerking. Om cliënten goed te adviseren over de AVG is het belangrijk om te weten wat er gedaan mag worden met persoonsgegevens en onder welke grondslag dat is toegestaan.
Toestemming is één van de grondslagen in de AVG die het verwerken van persoonsgegevens kan rechtvaardigen. De andere grondslagen zijn: het aangaan van een overeenkomst, een wettelijke plicht, vitaal belang, (publiekrechtelijk) belang en het gerechtvaardigd belang. Voor het verwerken van bijzondere persoonsgegevens en strafrechtelijke gegevens gelden strengere eisen.
Het is overigens niet zo dat bedrijven sinds de invoering van de AVG te maken hebben gekregen met veel strengere regels. De AVG is niet strenger dan de vorige wet, de Wet bescherming persoonsgegevens: de meeste bepalingen zijn overgenomen. Wat er wel is veranderd, zijn de sancties die door de Autoriteit Persoonsgegevens (AP) opgelegd kunnen worden als de regels niet worden nageleefd. Omdat de boetes hoger zijn geworden is er voor bedrijven meer reden om te voldoen aan de regelgeving.
2. Het MKB hoeft geen register van verwerkingsactiviteiten bij te houden
Veel cliënten stellen hun jurist de vraag of zij verplicht zijn om een register van verwerkingsactiviteiten bij te houden. In veel situaties is het bijhouden van dit register vereist. Organisaties die meer dan 250 medewerkers in dienst hebben zijn altijd verplicht om een register van verwerkingen bij te houden. Organisaties die minder dan 250 medewerkers in dienst hebben zijn verplicht om het register bij te houden als zij op een niet-incidentele wijze persoonsgegevens verwerken. De meeste organisaties verwerken persoonsgegevens op een niet-incidentele wijze, dus in de meeste gevallen, ook voor het MKB, is een organisatie verplicht om een register van verwerkingsactiviteiten bij te houden.
3. Als er een datalek ontstaat bij de verwerker, dan moet de verwerker dat binnen 24 uur melden aan de verantwoordelijke
Als er een datalek ontstaat dan stelt de cliënt daar vragen over aan zijn advocaat of jurist. Want als het over datalekken gaat, dan denk je vrijwel direct aan hoge boetes. De cliënt is op zoek naar zekerheid: hij wil weten in welk geval een datalek gemeld moet worden, door wie, hoe en binnen hoeveel uur.
Een van de misverstanden die is ontstaan is dat een verwerker een geconstateerd datalek binnen 24 uur moet melden aan de verantwoordelijke. Dat klopt niet: de verwerker dient een geconstateerd datalek onverwijld te melden aan de verantwoordelijke. De verantwoordelijke moet het datalek vervolgens binnen 72 uur na ontdekking melden aan de Autoriteit Persoonsgegevens (AP) en eventueel ook aan de betrokkene. De tijd die de verwerker nodig heeft om het datalek te melden aan de verantwoordelijke wordt niet van deze 72 uur afgetrokken.
4. De AVG heeft geen betrekking op anonieme gegevens
Volgens de AVG zijn geanonimiseerde data geen persoonsgegevens. Maar als de gegevens niet (voldoende) zijn geanonimiseerd dan zijn het persoonsgegevens en is de AVG wel van toepassing. Voor een juridische professional is het daarom van belang om te weten wat het onderscheid is tussen persoonsgegevens en geanonimiseerde data, zodat je de cliënt goed kan adviseren.
In de praktijk blijkt dat de meeste gegevens die betrekking hebben op een geïdentificeerde of een identificeerbare persoon na een bewerking nog steeds indirect herleidbaar zijn tot een persoon. Het anonimiseren van persoonsgegevens moet gedaan worden door daartoe geautoriseerde personen die handelen binnen de geldende regels, anders is de AVG van toepassing.
5. Organisaties moeten gegevens wissen als het recht om vergeten te worden wordt ingezet
Het recht om vergeten te worden en het recht op verwijdering zijn twee verschillende rechten. Juridische professionals krijgen geregeld te maken met vragen over deze rechten en daarom is het van belang om het verschil tussen de twee rechten te weten.
Een betrokkene kan een verantwoordelijke verzoeken om gegevens te verwijderen op basis van het recht op verwijdering. De verantwoordelijke maakt vervolgens een afweging op basis van de noodzakelijkheid of het verstrijken van de bewaartermijn. De belangrijkste reden om in te stemmen met het verzoek om gegevens te verwijderen, is als je de gegevens niet meer nodig hebt.
Het recht om vergeten te worden, of het recht op vergetelheid, is een nieuw recht voor burgers. Hiermee kan een burger onjuiste of verouderde privacygevoelige informatie laten verwijderen uit archieven. Het recht geldt ook bij zoekresultaten van zoekopdrachten op een persoonsnaam bij een zoekmachine. Als je niet wilt dat Google bepaalde websites toont als je naam wordt ingevoerd, dan kun je daarvoor contact opnemen met de eigenaar van de zoekmachine. De gegevens worden niet verwijderd van het internet, maar het zorgt ervoor dat de zichtbaarheid van de gegevens wordt beperkt.
6. Als een bedrijf zich niet houdt aan de AVG riskeert zij een miljoenenboete: het bedrijf kan daardoor failliet gaan
De Autoriteit Persoonsgegevens (AP) legt soms torenhoge boetes op. Daardoor is de indruk ontstaan dat bedrijven die zich niet houden aan de AVG een miljoenenboete riskeren. Dat klopt gelukkig niet! Bij het vaststellen van een boete houdt de AP rekening met de soort overtreding, de ernst, omvang en duur van de overtreding en de omvang van de organisatie. Een bedrijf failliet laten gaan is niet het doel van de sanctie.
Het is verstandig om cliënten bewust te maken van de risico’s van het niet naleven van de AVG, maar leg vooral de nadruk op het adviseren over het goed naleven van de regels.
7. De AVG is vooral een juridische en ICT-aangelegenheid
Op allerlei afdelingen van bedrijven worden persoonsgegevens verwerkt. Als je een cliënt wilt adviseren over het voldoen aan de AVG is het van belang om per afdeling na te gaan of er persoonsgegevens worden verwerkt en welke regels er daarvoor gelden. De afdeling HR verwerkt persoonsgegevens omdat zij nieuwe medewerkers werft, de inkoopafdeling heeft te maken met verwerkersovereenkomsten en de marketingafdeling verstuurt onder andere nieuwsbrieven.
Het doel van de AVG is om EU-burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. Zo zijn er regels voor het verzamelen, opslaan en verwerken van persoonsgegevens. Als de regels niet worden nageleefd, dan kan de Autoriteit Persoonsgegevens boetes uitdelen.
In het boek ‘50 misverstanden over de AVG’ legt auteur M.J. Bonthuis op een praktische manier uit wat de basis is van de gegevensbescherming. Het is een boek met heldere vraagstukken en allerlei praktijkvoorbeelden, waarmee de misverstanden rondom de AVG uit de wereld geholpen worden.
