Het is belangrijk dat u als bedrijf de juiste maatregelen neemt om te voldoen aan de aangescherpte regelgeving. Vergeet daarbij uw ‘privacy-aansprakelijkheid’ niet! Hiermee bedoelen we: wat zijn uw (aansprakelijkheids)risico’s als er privacygevoelige gegevens van bijvoorbeeld uw klanten op straat komen te liggen?
Om hier een goed beeld bij te krijgen is een aantal vragen belangrijk.
Over welke data beschikt u? Alleen persoonsgegevens of ook bijzondere persoonsgegevens zoals gezondheids- en betaalkaartgegevens?
Bent u verwerker of bewerker?
Welke verantwoordelijkheid heeft u richting uw opdrachtgevers? Met andere woorden, wat heeft u met ze afgesproken?
Zijn er andere bedrijven afhankelijk van uw werkzaamheden? Oftewel kunt u aansprakelijk gesteld worden door de keten als er bij u iets mis gaat?
Voldoet uw bedrijf al aan de AVG? De Autoriteit Persoonsgegevens is gestart met controles in private sectoren. Lees meer >
Als u een privacy-fout maakt hoeft er geen sprake te zijn van materiële schade of letselschade. Een AVB biedt u dan geen dekking in het kader van AVG.
Dick Slieker
adviseur zakelijk
Aansprakelijk. En nu?
Stel een medewerker van uw bedrijf mailt een bestand met klantgegevens waar ook e-mail- en bankgegevens van deze klanten instaan naar een verkeerd e-mailadres. Hierdoor komen de gegevens van deze klanten op straat te liggen. Een van de klanten stelt uw bedrijf hiervoor aansprakelijk. Hieronder leggen we uit wat het gevolg is voor uw bedrijfs- en beroepsaansprakelijkheid.
Bedrijfsaansprakelijkheid
U kunt aansprakelijk gesteld worden voor schade die u, uw werknemers, tijdelijke krachten of vrijwilligers veroorzaken bij de uitvoering van werkzaamheden. Of die uw eigendommen veroorzaken aan derden. Dit kan materiële of letselschade zijn.
Met een aansprakelijkheidsverzekering voor bedrijven (AVB) heeft u geen dekking in het kader van AVG. Als u een privacy-fout maakt hoeft er namelijk geen sprake te zijn van materiële schade of letselschade. Het privacy-aansprakelijkheidsrisico is dus niet verzekerd. Wel zijn er oplossingen in de vorm van een cyber- en datarisicoverzekering en in sommige gevallen een beroepsaansprakelijkheidsverzekering.
Beroepsaansprakelijkheid
U kunt ook aansprakelijk gesteld worden voor vermogensschade die u, uw werknemers of tijdelijke krachten veroorzaken door het geven van bijvoorbeeld een verkeerd advies of ontwerp. Maar ook voor financiële schade die ontstaat door het niet nakomen van een gemaakte afspraak. In zo’n geval kunt u terugvallen op uw beroepsaansprakelijkheidsverzekering.
Met een beroepsaansprakelijkheidsverzekering heeft u in sommige gevallen dekking in het kader van AVG. Dit is afhankelijk van de polisvoorwaarden en of u iets te verwijten valt. Het privacy-aansprakelijkheidsrisico is dus niet altijd verzekerd. Bij een cyber- en datarisicoverzekering wel.
We hebben dit artikel met zorg voor u opgesteld, gebaseerd op de informatie die we op dit moment (juli 2018) hebben. We zijn niet aansprakelijk voor eventuele fouten. De tekst mag nooit worden opgevat als een (persoonlijk) advies. Daarvoor gaan we graag met u in gesprek.
Heeft u hulp nodig bij het in kaart brengen van deze risico’s?
Is een functionaris voor de gegevensbescherming (FG) echt nodig?
Voor sommige organisaties is het verplicht een FG aan te stellen. Voor de grote meerderheid is dat niet het geval. Maar het is voor iedere organisatie verstandig een FG aan te stellen. Een FG neemt u namelijk veel werk uit handen; zorgt voor structurele assessments en rapportages, is het aanspreekpunt voor AVG-kwesties én is de schakel met de Autoriteit Persoonsgegevens. Maar het belangrijkste voordeel is dat u richting uw klanten het signaal geeft dat u hun privacy hoog in het vaandel heeft staan.
Is het voldoende als ik overal toestemming voor vraag?
Met alleen toestemming vragen voldoet u nog niet aan alle AVG-verplichtingen. Daarnaast is bewustwording bij werknemers van groot belang. Zij werken tenslotte met de gegevens. In de inrichting van uw processen kunt u hier veel ondervangen. Vanuit de wet wordt het zogenaamde Privacy By Design dan ook aangeraden. Hiermee kunt u bij de implementatie rekening houden.
Is het uitvoeren van DPIA verplicht?
Een DPIA (Data Protection Impact Assessment of Gegevensbeschermingseffectbeoordeling) is verplicht onder bepaalde voorwaarden. Niet altijd dus. Een functionaris voor de gegevensbescherming kan u advies geven of het voor uw bedrijf noodzakelijk is.
Ben ik verantwoordelijk voor data die ik van iemand anders krijg?
U mag volgens de wet alleen maar samenwerken met partijen die voldoen aan de AVG-wetgeving. Hierbij geldt een ketenverantwoordelijkheid. Verwerkt uw bedrijf data van andere partijen? Dan moet u ook voldoen aan de wetgeving en dus compliant zijn.
Kan ik iemand uit mijn organisatie aanstellen als FG?
Als u een werknemer aanstelt als functionaris voor de gegevensbescherming, moet u er rekening mee houden dat deze persoon onafhankelijk is en blijft. Deze persoon mag dus niet zijn eigen werk beoordelen. Daarnaast krijgt de FG dezelfde ontslagbescherming als leden van de ondernemingsraad. De FG krijgt dus een aparte positie in uw organisatie.
Is de FG verantwoordelijk voor alles rondom privacy?
De AVG gaat over de verwerking van persoonsgegevens. Het gaat dus niet om àlles rondom privacy. De FG verzorgt assessments, rapportages en geeft adviezen over de inrichting van de processen en de verwerking van gegevens. Maar hij is raadgever. Uw bedrijf blijft dus altijd verantwoordelijk en aansprakelijk voor hoe gegevens verwerkt worden.
Wat wordt er bedoeld met persoonsgegevens?
Als er gesproken wordt over persoonsgegevens, dan gaat het om alle informatie die kunnen herleiden naar een persoon. Het gaat dus ook om gegevens die in de context terug te leiden zijn naar een persoon. Denk hierbij aan BSN-nummer, rijbewijsnummer, bankrekeninggegevens, gebruikersnamen en wachtwoorden van online accounts, medische gegevens en zorgverzekeringsinformatie.
Moet ik een register van verwerkingen bijhouden?
Niet ieder bedrijf hoeft een register van verwerkingen bij te houden. Maar het kan wel heel gemakkelijk zijn als de Autoriteit Persoonsgegevens of klanten om inzage vragen. Dat scheelt u veel werk én u laat zien dat u de AVG zeer serieus neemt.
