AVG/GDPR – Wat zijn uw privacyrisico’s en de aansprakelijkheid
Het is belangrijk dat u als bedrijf de juiste maatregelen neemt om te voldoen aan de aangescherpte regelgeving. Vergeet daarbij uw ‘privacy-aansprakelijkheid’ niet! Hiermee bedoelen we: wat zijn uw (aansprakelijkheids)risico’s als er privacygevoelige gegevens van bijvoorbeeld uw klanten op straat komen te liggen?
Anderen vinden dit interessant
Belangrijke vragen
Om hier een goed beeld bij te krijgen is een aantal vragen belangrijk.
- Over welke data beschikt u? Alleen persoonsgegevens of ook bijzondere persoonsgegevens zoals gezondheids- en betaalkaartgegevens?
- Bent u verwerker of bewerker?
- Welke verantwoordelijkheid heeft u richting uw opdrachtgevers? Met andere woorden, wat heeft u met ze afgesproken?
- Zijn er andere bedrijven afhankelijk van uw werkzaamheden? Oftewel kunt u aansprakelijk gesteld worden door de keten als er bij u iets mis gaat?
Als u een privacy-fout maakt hoeft er geen sprake te zijn van materiële schade of letselschade. Een AVB biedt u dan geen dekking in het kader van AVG.
Dick Slieker
Dick Slieker
Aansprakelijk. En nu?
Stel een medewerker van uw bedrijf mailt een bestand met klantgegevens waar ook e-mail- en bankgegevens van deze klanten instaan naar een verkeerd e-mailadres. Hierdoor komen de gegevens van deze klanten op straat te liggen. Een van de klanten stelt uw bedrijf hiervoor aansprakelijk. Hieronder leggen we uit wat het gevolg is voor uw bedrijfs- en beroepsaansprakelijkheid.
Bedrijfsaansprakelijkheid
U kunt aansprakelijk gesteld worden voor schade die u, uw werknemers, tijdelijke krachten of vrijwilligers veroorzaken bij de uitvoering van werkzaamheden. Of die uw eigendommen veroorzaken aan derden. Dit kan materiële of letselschade zijn.
Met een aansprakelijkheidsverzekering voor bedrijven (AVB) heeft u geen dekking in het kader van AVG. Als u een privacy-fout maakt hoeft er namelijk geen sprake te zijn van materiële schade of letselschade. Het privacy-aansprakelijkheidsrisico is dus niet verzekerd. Wel zijn er oplossingen in de vorm van een cyber- en datarisicoverzekering en in sommige gevallen een beroepsaansprakelijkheidsverzekering.
Beroepsaansprakelijkheid
U kunt ook aansprakelijk gesteld worden voor vermogensschade die u, uw werknemers of tijdelijke krachten veroorzaken door het geven van bijvoorbeeld een verkeerd advies of ontwerp. Maar ook voor financiële schade die ontstaat door het niet nakomen van een gemaakte afspraak. In zo’n geval kunt u terugvallen op uw beroepsaansprakelijkheidsverzekering.
Met een beroepsaansprakelijkheidsverzekering heeft u in sommige gevallen dekking in het kader van AVG. Dit is afhankelijk van de polisvoorwaarden en of u iets te verwijten valt. Het privacy-aansprakelijkheidsrisico is dus niet altijd verzekerd. Bij een cyber- en datarisicoverzekering wel.
Vraag ons om persoonlijk advies
We hebben dit artikel met zorg voor u opgesteld, gebaseerd op de informatie die we op dit moment (juli 2018) hebben. We zijn niet aansprakelijk voor eventuele fouten. De tekst mag nooit worden opgevat als een (persoonlijk) advies. Daarvoor gaan we graag met u in gesprek.
Wij regelen het voor u
- U hoeft het niet alleen te doen
- Direct contact met een adviseur
- Altijd advies op maat
Selecteer uw kantoor
Voor directe contactgegevens.
Aalsmeer
- Zwarteweg 88
- 1431 VM Aalsmeer
- 0297-23 44 44
- Uw kantoor Aalsmeer
- 0297-23 44 44
Alkmaar
- Arcadialaan 28-C
- 1813 KN Alkmaar
- 072-576 57 65
- Uw kantoor Alkmaar
- 072-576 57 65
Apeldoorn
- Boogschutterstraat 1
- 7324 AE Apeldoorn
- 055-368 34 00
- Uw kantoor Apeldoorn
- 055-368 34 00
Breda
- Ettensebaan 31
- 4813 AH Breda
- 076-530 55 55
- Uw kantoor Breda
- 076-530 55 55
Capelle aan den IJssel
- Rivium Quadrant 241
- 2909 LC Capelle aan den IJssel
- 010-272 43 00
- Uw kantoor Capelle aan den IJssel
- 010-272 43 00
Den Bosch
- Europalaan 28-C
- 5232 BC 's Hertogenbosch
- 073-548 14 70
- Uw kantoor Den Bosch
- 073-548 14 70
Eindhoven
- Beemdstraat 16
- 5652 AB Eindhoven
- 040-294 84 74
- Uw kantoor Eindhoven
- 040-294 84 74
Enschede
- Zuiderval 94-3
- 7543 EZ Enschede
- 053-432 48 00
- Uw kantoor Enschede
- 053-432 48 00
Groningen
- Paterswoldseweg 810
- 9728 BM Groningen
- 050-36 57 500
- Uw kantoor Groningen
- 050-36 57 500
Heerhugowaard
- J. Duikerweg 5
- 1703 DH Heerhugowaard
- 072-576 57 65
- Uw kantoor Heerhugowaard
- 072-576 57 65
Huis ter Heide (Zeist)
- Amersfoortseweg 10-E
- 3712 BC Huis ter Heide
- 030-691 68 44
- Uw kantoor Huis ter Heide (Zeist)
- 030-691 68 44
Nederweert
- Hulsenweg 19
- 6031 SP Nederweert
- 0495-58 48 47
- Uw kantoor Nederweert
- 0495-58 48 47
Rijswijk
- Veraartlaan 6
- 2288 GM Rijswijk
- 070-340 90 90
- Uw kantoor Rijswijk
- 070-340 90 90
Roermond
- Buitenop 9
- 6041 LA Roermond
- 0475-33 35 36
- Uw kantoor Roermond
- 0475-33 35 36
Sneek
- Oosterom 11
- 8602 DE Sneek
- 0515-23 89 77
- Uw kantoor Sneek
- 0515-23 89 77
-
Moet ik een register van verwerkingen bijhouden?
Niet ieder bedrijf hoeft een register van verwerkingen bij te houden. Maar het kan wel heel gemakkelijk zijn als de Autoriteit Persoonsgegevens of klanten om inzage vragen. Dat scheelt u veel werk én u laat zien dat u de AVG zeer serieus neemt.
-
Kan ik iemand uit mijn organisatie aanstellen als FG?
Als u een werknemer aanstelt als functionaris voor de gegevensbescherming, moet u er rekening mee houden dat deze persoon onafhankelijk is en blijft. Deze persoon mag dus niet zijn eigen werk beoordelen. Daarnaast krijgt de FG dezelfde ontslagbescherming als leden van de ondernemingsraad. De FG krijgt dus een aparte positie in uw organisatie.
-
Is het voldoende als ik overal toestemming voor vraag?
Met alleen toestemming vragen voldoet u nog niet aan alle AVG-verplichtingen. Daarnaast is bewustwording bij werknemers van groot belang. Zij werken tenslotte met de gegevens. In de inrichting van uw processen kunt u hier veel ondervangen. Vanuit de wet wordt het zogenaamde Privacy By Design dan ook aangeraden. Hiermee kunt u bij de implementatie rekening houden.
-
Is het uitvoeren van DPIA verplicht?
Een DPIA (Data Protection Impact Assessment of Gegevensbeschermingseffectbeoordeling) is verplicht onder bepaalde voorwaarden. Niet altijd dus. Een functionaris voor de gegevensbescherming kan u advies geven of het voor uw bedrijf noodzakelijk is.
-
Wat wordt er bedoeld met persoonsgegevens?
Als er gesproken wordt over persoonsgegevens, dan gaat het om alle informatie die kunnen herleiden naar een persoon. Het gaat dus ook om gegevens die in de context terug te leiden zijn naar een persoon. Denk hierbij aan BSN-nummer, rijbewijsnummer, bankrekeninggegevens, gebruikersnamen en wachtwoorden van online accounts, medische gegevens en zorgverzekeringsinformatie.
-
Is een functionaris voor de gegevensbescherming (FG) echt nodig?
Voor sommige organisaties is het verplicht een FG aan te stellen. Voor de grote meerderheid is dat niet het geval. Maar het is voor iedere organisatie verstandig een FG aan te stellen. Een FG neemt u namelijk veel werk uit handen; zorgt voor structurele assessments en rapportages, is het aanspreekpunt voor AVG-kwesties én is de schakel met de Autoriteit Persoonsgegevens. Maar het belangrijkste voordeel is dat u richting uw klanten het signaal geeft dat u hun privacy hoog in het vaandel heeft staan.
-
Is de FG verantwoordelijk voor alles rondom privacy?
De AVG gaat over de verwerking van persoonsgegevens. Het gaat dus niet om àlles rondom privacy. De FG verzorgt assessments, rapportages en geeft adviezen over de inrichting van de processen en de verwerking van gegevens. Maar hij is raadgever. Uw bedrijf blijft dus altijd verantwoordelijk en aansprakelijk voor hoe gegevens verwerkt worden.
-
Ben ik verantwoordelijk voor data die ik van iemand anders krijg?
U mag volgens de wet alleen maar samenwerken met partijen die voldoen aan de AVG-wetgeving. Hierbij geldt een ketenverantwoordelijkheid. Verwerkt uw bedrijf data van andere partijen? Dan moet u ook voldoen aan de wetgeving en dus compliant zijn.