AVG: boetes en het belang van AVG compliance (2/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop eisen voor de kiezen, van het documenteren van gegeven toestemming tot het registreren van datalekken en het borgen van beveiliging. De belangrijkste prikkel uit de AVG om dit te doen is de enorme boetes die dreigen voor wie het niet doet. Wat zegt de AVG nu precies over boetes?

De AVG kent twee boetecategorieën: een lage categorie bij overtreding van administratieve bepalingen en een hoge categorie voor meer fundamentele overtredingen. Dat ‘laag’ is overigens relatief: tien miljoen euro of, als dat meer is, 2% van de wereldwijde jaaromzet. De hoge categorie is maar liefst twintig miljoen of 4% van de wereldwijde omzet.

Deze enorme bedragen zijn met name bedoeld voor de technologie-reuzen zoals Facebook, Google en Amazon die miljarden winst maken met de verwerking van persoonsgegevens. In de praktijk hoeft een mkb’er dus niet te vrezen voor dergelijke bedragen. De AVG bepaalt expliciet dat boetes doeltreffend, evenredig en afschrikkend moeten zijn. Doeltreffend wil zeggen dat zij het gewenste gedrag (naleving van de AVG) stimuleren, evenredig dat ze niet disproportioneel zwaar (of juist licht) zijn gezien de overtreding en afschrikkend dat ook anderen het gewenste gedrag gaan vertonen. Toezichthouders moeten daarvoor specifiek boetebeleid opstellen.

Toezichthouders kunnen u overigens tevens bevelen bepaalde verwerkingen te staken of aan te passen, wat natuurlijk ook een behoorlijke kostenpost kan opleveren. En eventuele boetes of stakingsbevelen worden gepubliceerd, zodat u ook rekening moet houden met reputatieschade.

Maar boetes zijn niet de enige reden om aan de AVG te voldoen. Steeds belangrijker wordt de simpele overweging dat klanten, leveranciers of partners dit van u verlangen. Dit trickle-down effect zien we nu al veel in de praktijk. Grote bedrijven, waaronder banken en verzekeraars, eisen in hun inkoopvoorwaarden simpelweg een keiharde garantie dat hun leveranciers de AVG nakomen, en dat zij aansprakelijk zijn voor álle schade als dat niet het geval blijkt. Deze leveranciers leggen deze eis dan logischerwijs ook weer bij hún leveranciers en partners neer, zodat deze vrijwillige compliance straks bij een grote hoeveelheid bedrijven terecht komt.

Ook verlangen verzekeraars steeds vaker dat men de privacywetgeving naleeft, zodat u dus onverzekerd blijkt als bijvoorbeeld een datalek veroorzaakt is door het negeren van de AVG. Controleer dus goed uw verzekeringspolis en ga na welke eisen uit de AVG u moet naleven (en hoe) om verzekerd te blijven werken.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.