Aangezien de Algemene Verordening Gegevensbescherming (AVG of GDPR) gevolgen zal hebben voor de meeste bedrijven, is het verstandig om op de hoogte te zijn van de gevolgen als u de bepalingen ervan overtreedt.
Wie houdt toezicht op de AVG?
De Autoriteit Persoonsgegevens (AP) is de toezichthoudende autoriteit in Nederland die verantwoordelijk is voor het toezicht op en de handhaving van de naleving van de AVG.
Meldingsplicht bij een inbreuk
Indien een inbreuk in verband met persoonsgegevens leidt tot een waarschijnlijk risico voor de rechten en vrijheden van een betrokkene, moeten de voor verwerking verantwoordelijken de AP “zonder onnodige vertraging en, indien mogelijk, niet later dan 72 uur nadat zij er kennis van hebben gekregen” in kennis stellen van de inbreuk. Wanneer er een groot risico bestaat voor een betrokkene, moet ook de betrokkene de voorgeschreven informatie worden meegedeeld.
De AP moet het volgende worden meegedeeld:
- de aard van de inbreuk
- de naam en de contactgegevens van uw functionaris voor gegevensbescherming (indien van toepassing)
- de vermoedelijke gevolgen van de inbreuk; en
- de maatregelen die genomen zijn of voorgesteld worden om de inbreuk aan te pakken en te beperken.
Bevoegdheden van de AP
De AP beschikt krachtens de AVG over onderzoeksbevoegdheden en corrigerende bevoegdheden. Corrigerende bevoegdheden omvatten onder meer: het geven van waarschuwingen; het gelasten van de naleving van de verzoeken van een betrokkene om zijn gegevensbeschermingsrechten uit te oefenen; het gelasten van de naleving van de AVG; en het gelasten van beperkingen op gegevensverwerkingsactiviteiten.
Hoewel de AP ook bevoegd is om boetes op te leggen, kan bij relatief kleine inbreuken de uitoefening van de bovenvermelde corrigerende bevoegdheden volstaan om een inbreuk in verband met gegevens aan te pakken. Het niet melden van een inbreuk is echter een van de verzwarende factoren voor het opleggen van een boete.
Boetes uit hoofde van de AVG
Organisaties kunnen voor de ergste inbreuken een boete krijgen van maximaal 20.000.000 euro of 4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogst is. Er zijn echter een aantal factoren waarmee de AP “terdege rekening” moet houden bij het bepalen van het opleggen en het niveau van een boete:
- Aard, ernst en duur van de inbreuk;
- Veroorzaakte schade;
- Opzet of nalatigheid;
- Matiging door de voor de verwerking verantwoordelijke;
- Geschiktheid van bestaande waarborgen;
- Relevante eerdere inbreuken, gelaste corrigerende maatregelen en naleving van eventuele bevelen;
- De mate van samenwerking met de AP;
- Hoe de AP erachter is gekomen, inclusief of (en in welke mate) de organisatie kennisgeving heeft gedaan; en
- Eventuele andere verzwarende of verzachtende factoren.
Conclusie: voorkomen is beter dan genezen
Wanneer inbreuken op de AVG duidelijk zijn, is een correcte melding van de inbreuk aan en samenwerking met de AP altijd de beste optie.
Echter: voorkomen is beter dan genezen
Hoe kunt u gevoelige informatie beschermen en voorkomen dat deze onbedoeld openbaar wordt gemaakt? Door het gebruik van SharePoint heeft u de juiste basis voor goed document management.
