De Algemene Verordening Gegevensbescherming (AVG) is sinds mei 2018 van kracht en heeft als doel de privacy van individuen beter te beschermen. Ondanks dat bedrijven en organisaties hun best doen om aan deze wetgeving te voldoen, worden er nog vaak fouten gemaakt. Dit kan leiden tot hoge boetes en reputatieschade. In deze blog bespreek ik de meest voorkomende fouten rondom de privacywetgeving, geef ik voorbeelden uit de praktijk en bied ik oplossingen om deze fouten te voorkomen.
Wat Gaat Er Niet Goed?
1. Gebrek aan Bewustzijn en Kennis
Veel werknemers binnen bedrijven en organisaties zijn zich niet voldoende bewust van de regels en verplichtingen die de AVG met zich meebrengt. Dit gebrek aan kennis kan leiden tot onjuiste verwerking van persoonsgegevens. Een voorbeeld is het versturen van gevoelige informatie via onbeveiligde e-mail. Dit kan al snel leiden tot een datalek.
2. Onvoldoende Beveiliging van Gegevens
Een ander veelvoorkomend probleem is de gebrekkige beveiliging van gegevens. Dit kan komen door verouderde software, het niet updaten van systemen of het ontbreken van sterke wachtwoorden. Een bekend voorbeeld hiervan is de hack bij een groot bedrijf, waarbij de persoonsgegevens van duizenden klanten werden gestolen omdat de beveiligingsmaatregelen niet op orde waren.
3. Geen Duidelijke Verwerkingsregisters
De AVG vereist dat bedrijven bijhouden welke persoonsgegevens zij verzamelen, hoe deze worden verwerkt en met wie ze worden gedeeld. Veel organisaties hebben echter geen compleet of actueel verwerkingsregister. Dit kan ertoe leiden dat ze niet kunnen aantonen dat ze voldoen aan de AVG, wat tot boetes kan leiden.
4. Onvoldoende Informatie voor Betrokkenen
Bedrijven zijn verplicht om betrokkenen te informeren over hoe hun gegevens worden verwerkt. Dit gebeurt vaak via een privacyverklaring. Veel organisaties hebben echter onduidelijke, ingewikkelde of verouderde privacyverklaringen. Dit maakt het voor klanten moeilijk om te begrijpen wat er met hun gegevens gebeurt.
5. Niet Naleven van Rechten van Betrokkenen
De AVG geeft individuen verschillende rechten, zoals het recht op inzage, correctie en verwijdering van hun gegevens. Bedrijven hebben vaak geen goed proces om aan deze verzoeken te voldoen. Een voorbeeld is een bedrijf dat een verzoek tot gegevensverwijdering negeert, waardoor de klant zich genoodzaakt ziet een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Voorbeelden uit de Praktijk
Case: Uber
In 2016 werd Uber getroffen door een groot datalek waarbij de gegevens van 57 miljoen klanten en chauffeurs werden gestolen. Het bedrijf heeft dit datalek destijds niet direct gemeld aan de betrokkenen of de toezichthoudende autoriteiten, zoals de AVG voorschrijft. Uiteindelijk werd Uber beboet door verschillende landen voor het niet naleven van de privacywetgeving.
Case: British Airways
In 2018 werd British Airways getroffen door een datalek waarbij de gegevens van ongeveer 500.000 klanten werden gestolen. De oorzaak was een zwakke beveiliging van de website. De luchtvaartmaatschappij kreeg een boete van £20 miljoen vanwege onvoldoende beveiligingsmaatregelen.
Hoe Kun je Deze Fouten Verbeteren?
1. Bewustwording en Training
Zorg ervoor dat alle werknemers zich bewust zijn van de AVG-regels en de gevolgen van het niet naleven hiervan. Dit kan door regelmatig trainingen en workshops te organiseren. Medewerkers moeten weten hoe ze veilig met persoonsgegevens moeten omgaan en wat te doen bij een datalek.
2. Gegevensbeveiliging
Investeer in up-to-date beveiligingsmaatregelen. Dit omvat het regelmatig updaten van software, het gebruik van sterke wachtwoorden en tweestapsverificatie, en het versleutelen van gevoelige informatie. Zorg er ook voor dat alleen bevoegde personen toegang hebben tot bepaalde gegevens.
3. Verwerkingsregisters Bijhouden
Maak en onderhoud een gedetailleerd verwerkingsregister. Dit moet duidelijk weergeven welke gegevens worden verzameld, waarom ze worden verzameld, hoe ze worden verwerkt en met wie ze worden gedeeld. Dit helpt om snel te kunnen aantonen dat je aan de AVG voldoet.
4. Duidelijke Privacyverklaringen
Schrijf een duidelijke en begrijpelijke privacyverklaring. Deze moet makkelijk te vinden zijn en in eenvoudige taal uitleggen welke gegevens worden verzameld, hoe ze worden gebruikt en welke rechten de betrokkenen hebben. Zorg ervoor dat deze verklaring regelmatig wordt bijgewerkt.
5. Proces voor Rechten van Betrokkenen
Implementeer een helder proces om te voldoen aan verzoeken van betrokkenen. Dit kan een speciaal team zijn dat zich richt op AVG-verzoeken of een duidelijk stappenplan dat gevolgd moet worden. Zorg ervoor dat verzoeken binnen de wettelijke termijn worden afgehandeld.
Conclusie
Het naleven van de AVG is essentieel voor bedrijven en organisaties om de privacy van individuen te beschermen en om boetes en reputatieschade te voorkomen. Door bewustwording te creëren, goede beveiligingsmaatregelen te nemen, duidelijke verwerkingsregisters en privacyverklaringen bij te houden, en een goed proces voor de rechten van betrokkenen in te voeren, kunnen de meest voorkomende fouten rondom de privacywet worden vermeden. Zo kunnen bedrijven niet alleen voldoen aan de wet, maar ook het vertrouwen van hun klanten behouden.